Рекомендация Debian по безопасности

DLA-131-1 file -- обновление безопасности LTS

Дата сообщения:
09.01.2015
Затронутые пакеты:
file
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 773148.
В каталоге Mitre CVE: CVE-2014-8116, CVE-2014-8117.
Более подробная информация:

В file, инструменте/библиотеке для определения типа файлов, были обнаружены многочисленные проблемы безопасности. Обработка специально сформированных файлов может приводить к отказу в обслуживании. Большинство изменений связаны с грамматическим разбором файлов ELF.

В качестве исправлений в ряде случаев были добавлены новые или усилены существующие ограничения аспектов определения, что иногда приводит к сообщениям вида исчерпан лимит рекурсии или слишком много разделов заголовков программы.

Для того, чтобы обойти подобные затруднения, эти ограничения можно изменить с помощью нового параметра "-R"/"--recursion" в программе file. Внимание: будущее обновление file в squeeze-lts может заменить этот параметр на параметр "-P" для того, чтобы использование данной утилиты во всех выпусках было одинаковым.

  • CVE-2014-8116

    Код для грамматического разбора ELF (readelf.c) позволяет удалённым злоумышленникам вызывать отказ в обслуживании (чрезмерное потребление ресурсов ЦП или аварийная остановка).

  • CVE-2014-8117

    softmagic.c неправильно ограничивает рекурсию, что позволяет удалённым злоумышленникам вызывать отказ в обслуживании (чрезмерное потребление ресурсов ЦП или аварийная остановка).

    (идентификатор пока не назначен)

    Доступ за пределами выделенного буфера памяти

В Debian 6 Squeeze эти проблемы были исправлены в file версии 5.04-5+squeeze9