Debian Long Term Support / LTS Security Information / 2014 / セキュリティ情報 -- DLA-50-1 file

Debian セキュリティ勧告

DLA-50-1 file -- LTS セキュリティ更新

報告日時:

2014-09-10

影響を受けるパッケージ:

file

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2014-3538, CVE-2014-3587.

詳細:

• CVE-2014-3538

  file が正規表現による検索の際にデータ量を適切に制限していないため、 リモートの攻撃者がサービス拒否 (CPU 消費) を引き起こすことが可能でした。

• CVE-2014-3587

  cdf.c の cdf_read_property_info 関数に整数オーバーフローがあり、リモートの攻撃者にサービス拒否 (アプリケーションのクラッシュ) を許していました。

注意: wheezy の 5.11-2+deb7u4 (DSA-3021-1) で修正された他の7件の問題は2014年7月、5.04-5+squeeze6 (DLA 27-1) で既に処理されています。また、それから行われた変更の副次的な影響による修正として、 一部ファイルの MIME 種類検出が改善し、application/octet-stream からもっと明確なapplication/x-dosexecや application/x-iso9660-imageと判定するようになっています。

Debian 6Squeezeでは、この問題は file バージョン 5.04-5+squeeze7 で修正されています。