Mandriva Linux セキュリティアドバイザリ:file(MDVSA-2014:051)
medium Nessus プラグイン ID 72998
Language:
概要
リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。説明
更新済みの file パッケージにより、次のセキュリティ脆弱性が修正されます:libmagic ライブラリの間接マジックルールの処理で、5.17 より前の file に欠陥があることが判明しました。これにより、特定のファイルのファイルタイプを確定しようとすると、無限再帰が引き起こされます(CVE-2014-1943)。
さらに、うまく細工された別のファイルにより、(CPU を 100% 使用している際に)計算時間が長くなり、過度に長い結果が生じることもあります。
ファイルユーティリティが、Windows で使用される実行可能ファイル形式である Portable Executable (PE) フォーマットファイルのタイプを確定する方法で、欠陥が見つかりました。悪意ある PE ファイルが、ファイルユーティリティをクラッシュさせたり、任意のコードを実行したりする可能性があります(CVE-2014-2270)。
file のメモリリークも修正されました。
影響を受けるパッケージは、5.12 バージョンにアップグレードされ、これらの欠陥を修正するためのパッチが適用されました。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 72998
ファイル名: mandriva_MDVSA-2014-051.nasl
バージョン: 1.4
タイプ: local
公開日: 2014/3/14
更新日: 2021/1/6
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 4.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: p-cpe:/a:mandriva:linux:file, p-cpe:/a:mandriva:linux:lib64magic-devel, p-cpe:/a:mandriva:linux:lib64magic-static-devel, p-cpe:/a:mandriva:linux:lib64magic1, p-cpe:/a:mandriva:linux:python-magic, cpe:/o:mandriva:business_server:1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/3/13
参照情報
CVE: CVE-2014-1943, CVE-2014-2270
MDVSA: 2014:051