Рекомендация Debian по безопасности
DLA-50-1 file -- обновление безопасности LTS
- Дата сообщения:
- 10.09.2014
- Затронутые пакеты:
- file
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2014-3538, CVE-2014-3587.
- Более подробная информация:
-
- CVE-2014-3538
Утилита file неправильно ограничивает количество считываемых данных в ходе поиска по регулярному выражению, что позволяет удалённым злоумышленникам вызывать отказ в обслуживании (чрезмерное потребление ресурсов ЦП).
- CVE-2014-3587
Переполнение целых чисел в функции cdf_read_property_info в cdf.c позволяет удалённым злоумышленникам вызывать отказ в обслуживании (аварийная остановка приложения).
Внимание: другие семь проблем для выпуска wheezy, исправленные в версии 5.11-2+deb7u4 (DSA-3021-1), уже были исправлены в версии 5.04-5+squeeze6 (DLA 27-1) в июле 2014 года. Кроме того, в качестве стороннего эффекта этих изменений для некоторых файлов было улучшено определение MIME-типа от значения "application/octet-stream" к чему-то более конкретному вида "application/x-dosexec" или "application/x-iso9660-image".
В Debian 6
Squeeze
эти проблемы были исправлены в пакете file версии 5.04-5+squeeze7 - CVE-2014-3538