Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (27.03.2014):
Debian hat Sicherheitspatches für die Distributionen Squeeze, Wheezy und
Jessie veröffentlicht.
Version 1 (26.03.2014):
Neues Advisory
Betroffene Software:
File <= 5.14 Betroffene Plattformen: Debian Linux 6.0.9 Squeeze Debian Linux 7.4 Wheezy Debian Linux 8.0 Jessie Red Hat Fedora 19 Red Hat Fedora 20 Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um einen Denial-of-Service-Zustand z.B. über eine speziell präparierte Textdatei zu erzeugen. Patch: Debian Security Advisory DSA-2873 http://www.debian.org/security/2014/dsa-2873
Patch:
Fedora Update FEDORA-2014-4304
https://admin.fedoraproject.org/updates/FEDORA-2014-4304/file-5.14-19.fc20
Patch:
Fedora Update FEDORA-2014-4340
https://admin.fedoraproject.org/updates/FEDORA-2014-4340/file-5.14-20.fc20
CVE-2013-7345: DoS-Schwachstelle in file
Bei der Erkennung von awk-Skripten durch reguläre Ausdrücke für BEGIN in
magic/Magdir/commands kann es durch die Rekursion des
Backtracking-Algorithmus zu einer sehr hohen CPU-Last kommen. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um einen Denial-of-Service-Zustand z.B. über eine speziell
präparierte Textdatei zu erzeugen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0358/
Debian Security Advisory DSA-2873:
http://www.debian.org/security/2014/dsa-2873
Schwachstelle CVE-2013-7345 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7345
Fedora Update FEDORA-2014-4304:
https://admin.fedoraproject.org/updates/FEDORA-2014-4304/file-5.14-19.fc20
Fedora Update FEDORA-2014-4340:
https://admin.fedoraproject.org/updates/FEDORA-2014-4340/file-5.14-20.fc20
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
