Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3166-1 e2fsprogs

Debians sikkerhedsbulletin

DSA-3166-1 e2fsprogs -- sikkerhedsopdatering

Rapporteret den:

22. feb 2015

Berørte pakker:

e2fsprogs

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 778948.
I Mitres CVE-ordbog: CVE-2015-0247, CVE-2015-1572.

Yderligere oplysninger:

Jose Duart fra Google Security Team opdagede et bufferoverløb i e2fsprogs, et værktøjssæt til filsystemerne ext2, ext3 og ext4. Problemet kunne muligvis føre til udførelse af vilkårlig kode, hvis en ondsindet enhed blev tilsluttet og systemet samtidig er opsat til automatisk at montere den, samt monteringsprocessen samtidig beslutter at køre fsck på enhedens ondsindede filsystem.

• CVE-2015-0247

  Bufferoverløb i filsystemet ext2/ext3/ext4's åbn-/luk-rutiner.

• CVE-2015-1572

  Ufuldstændig rettelse af CVE-2015-0247.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.42.5-1.1+deb7u1.

I den kommende stabile distribution (jessie) og i den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine e2fsprogs-pakker.