Bulletin d'alerte Debian
DSA-3551-1 fuseiso -- Mise à jour de sécurité
- Date du rapport :
- 16 avril 2016
- Paquets concernés :
- fuseiso
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 779047.
Dans le dictionnaire CVE du Mitre : CVE-2015-8836, CVE-2015-8837. - Plus de précisions :
-
fuseiso, une implémentation pour l'espace utilisateur du système de fichiers ISO 9660 basée sur FUSE, contient plusieurs vulnérabilités.
- CVE-2015-8836
Un dépassement de pile peut permettre à des attaquants, qui peuvent forcer un utilisateur à monter un système de fichiers ISO 9660 contrefait, de provoquer un déni de service (plantage), ou, éventuellement, d'exécuter du code arbitraire.
- CVE-2015-8837
Un dépassement d'entier mène à un dépassement de tas. Cela permet à un attaquant (qui peut forcer un utilisateur à monter un système de fichiers ISO 9660 contrefait) de provoquer un déni de service (plantage), ou, éventuellement, d'exécuter du code arbitraire.
Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 20070708-3+deb7u1.
La distribution stable (Jessie) ne contient pas de paquets fuseiso.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 20070708-3.2.
Nous vous recommandons de mettre à jour vos paquets fuseiso.
- CVE-2015-8836