Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3166-1 e2fsprogs

Säkerhetsbulletin från Debian

DSA-3166-1 e2fsprogs -- säkerhetsuppdatering

Rapporterat den:

2015-02-22

Berörda paket:

e2fsprogs

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 778948.
I Mitres CVE-förteckning: CVE-2015-0247, CVE-2015-1572.

Ytterligare information:

Jose Duart från Google Security Team upptäckte ett buffertspill i e2fsprogs, en uppsättning verktyg för filsystemen ext2, ext3 och ext4. Detta problem kan potentiellt leda till körning av godtycklig kod om en illasinnad enhet kopplas in och systemet är konfigurerat att automatiskt montera denna, och monteringsprocessen väljer att köra fsck på enhetens illasinnade filsystem.

• CVE-2015-0247

  Buffertspill i filsystemsrutinerna open/close för ext2/ext3/ext4.

• CVE-2015-1572

  Icke fullständig rättning av CVE-2015-0247.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.42.5-1.1+deb7u1.

För den kommande stabila utgåvan (Jessie) och den instabila utgåvan (Sid), kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era e2fsprogs-paket.