Säkerhetsbulletin från Debian

DSA-3551-1 fuseiso -- säkerhetsuppdatering

Rapporterat den:
2016-04-16
Berörda paket:
fuseiso
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 779047.
I Mitres CVE-förteckning: CVE-2015-8836, CVE-2015-8837.
Ytterligare information:

Man har upptäckt att fuseiso, en a user-space-implementation av filsystemet ISO 9660 baserat på FUSE, innehåller flera sårbarheter.

  • CVE-2015-8836

    Ett stack-baserat buffertspill kan tillåta angripare som kan lura en användare till att montera ett skapat ISO 9660-filsystem att orsaka en överbelastning (krasch), eller potentiellt köra godtycklig kod.

  • CVE-2015-8837

    Ett heltalsspill leder till ett heap-baserat buffertspill, som tillåter en angripare (som kan lura en användare till att montera ett skapat ISO 9660-filsystem) att orsaka en överbelastning (krasch), eller potentiellt köra godtycklig kod.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 20070708-3+deb7u1.

Den stabila utgåvan (Jessie) innehåller inte fuseiso-paket.

För den instabila utgåvan (Sid) har dessa problem rättats i version 20070708-3.2.

Vi rekommenderar att ni uppgraderar era fuseiso-paket.