Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2861-1 file

Debians sikkerhedsbulletin

DSA-2861-1 file -- lammelsesangreb

Rapporteret den:

16. feb 2014

Berørte pakker:

file

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 738832.
I Mitres CVE-ordbog: CVE-2014-1943.

Yderligere oplysninger:

Man opdagede at file, en værktøj til at klassificere filtyper, indeholdt en fejl i håndteringen af indirekte magiske regler i biblioteket libmagic, hvilket medførte en uendelig løkke når man forsøgte at afgøre visse filers typer. Projektet Common Vulnerabilities and Exposures har tildelt id'en CVE-2014-1943 til registrering af fejlen. Desuden kunne andre veldannede filer medføre lange beregningstider (mens 100 procent af CPU'en blev benyttet) og for lange resultater.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 5.04-5+squeeze3.

I den stabile distribution (wheezy), er dette problem rettet i version 5.11-2+deb7u1.

I den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine file-pakker.