Информация по безопасности / 2016 / Информация о безопасности -- DSA-3551-1 fuseiso

Рекомендация Debian по безопасности

DSA-3551-1 fuseiso -- обновление безопасности

Дата сообщения:

16.04.2016

Затронутые пакеты:

fuseiso

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 779047.
В каталоге Mitre CVE: CVE-2015-8836, CVE-2015-8837.

Более подробная информация:

Было обнаружено, что fuseiso, реализация файловой системы ISO 9660 на основе FUSE для пространства пользователя, содержит несколько уязвимостей.

• CVE-2015-8836

  Переполнение стека может позволить злоумышленникам, которые могут сделать так, чтобы пользователь смонтировал специально сформированную файловую систему ISO 9660, вызвать отказ в обслуживании (аварийная остановка) или потенциально выполнить произвольный код.

• CVE-2015-8837

  Переполнение целых чисел приводит к переполнению динамической памяти, которое позволяет злоумышленнику (который может сделать так, чтобы пользователь смонтировал специально сформированную файловую систему ISO 9660) вызвать отказ в обслуживании (аварийная остановка) или потенциально выполнить произвольный код.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 20070708-3+deb7u1.

В стабильном выпуске (jessie) пакеты fuseiso отсутствуют.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 20070708-3.2.

Рекомендуется обновить пакеты fuseiso.