Информация по безопасности / 2015 / Информация о безопасности -- DSA-3166-1 e2fsprogs

Рекомендация Debian по безопасности

DSA-3166-1 e2fsprogs -- обновление безопасности

Дата сообщения:

22.02.2015

Затронутые пакеты:

e2fsprogs

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 778948.
В каталоге Mitre CVE: CVE-2015-0247, CVE-2015-1572.

Более подробная информация:

Жозе Дуарт из Google Security Team обнаружил переполнение буфера в e2fsprogs, наборе утилит для файловых систем ext2, ext3 и ext4. Возможно, эта проблема может приводить к выполнению произвольного кода в случае подключения устройства злоумышленника, система настроена на автоматическое монтирование этого устройства, а процесс монтирования решает запустить fsck для проверки файловой системы устройства злоумышленника.

• CVE-2015-0247

  Переполнение буфера в функциях открытия/закрытия файловых систем ext2/ext3/ext4.

• CVE-2015-1572

  Неполное исправление CVE-2015-0247.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.42.5-1.1+deb7u1.

В готовящемся стабильном (jessie) и нестабильном (sid) выпусках эти проблемы будут исправлены позже.

Рекомендуется обновить пакеты e2fsprogs.