Bulletin d'alerte Debian

DSA-3121-1 file -- Mise à jour de sécurité

Date du rapport :
8 janvier 2015
Paquets concernés :
file
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 773148.
Dans le dictionnaire CVE du Mitre : CVE-2014-8116, CVE-2014-8117, CVE-2014-9620.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans file, un outil et une bibliothèque de détermination de type de fichier. Le traitement d'un fichier malformé pourrait avoir pour conséquence un déni de service. La plupart des modifications sont relatives à l'analyse des fichiers ELF.

Dans le cadre de ces corrections, plusieurs limites sur certains aspects de la détection ont été ajoutées ou renforcés, parfois aboutissant à des messages comme recursion limit exceeded ou too many program header sections.

Pour atténuer de tels défauts, ces limites sont contrôlables par l'introduction d'une nouvelle option -P, --parameter dans le programme file.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 5.11-2+deb7u7.

Pour la prochaine distribution stable (Jessie), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:5.21+15-1.

Nous vous recommandons de mettre à jour vos paquets file.