Bulletin d'alerte Debian
DSA-3121-1 file -- Mise à jour de sécurité
- Date du rapport :
- 8 janvier 2015
- Paquets concernés :
- file
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 773148.
Dans le dictionnaire CVE du Mitre : CVE-2014-8116, CVE-2014-8117, CVE-2014-9620. - Plus de précisions :
-
Plusieurs problèmes de sécurité ont été découverts dans file, un outil et une bibliothèque de détermination de type de fichier. Le traitement d'un fichier malformé pourrait avoir pour conséquence un déni de service. La plupart des modifications sont relatives à l'analyse des fichiers ELF.
Dans le cadre de ces corrections, plusieurs limites sur certains aspects de la détection ont été ajoutées ou renforcés, parfois aboutissant à des messages comme
recursion limit exceeded
outoo many program header sections
.Pour atténuer de tels défauts, ces limites sont contrôlables par l'introduction d'une nouvelle option -P, --parameter dans le programme file.
Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 5.11-2+deb7u7.
Pour la prochaine distribution stable (Jessie), ces problèmes seront corrigés prochainement.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:5.21+15-1.
Nous vous recommandons de mettre à jour vos paquets file.