Debian DLA-323-1：fuseiso 安全性更新

high Nessus Plugin ID 86226

語言:

概要

遠端 Debian 主機缺少一個安全性更新。

說明

下列兩個問題最近已在 fuseiso 套件的 Debian LTS (squeeze) 中修正。

(問題 1)

在 FuseISO (用來掛載 ISO 檔案系統映像的 FUSE 模組) 執行特定 inode 的某些 ZF 區塊之讀取的方式中發現一個導致堆積型緩衝區溢位瑕疵的整數溢位。遠端攻擊者可提供特製的 ISO 檔案，在透過 fuseiso 工具掛載時，會導致 fuseiso 二進位損毀。

此問題的發現者為 Red Hat 產品安全性團隊的 Florian Weimer。

透過在讀取超出所支援的 2^17 區塊大小之 ZF 區塊之前結束，可解決此問題。

(問題 2)

在 FuseISO (用來掛載 ISO 檔案系統映像的 FUSE 模組) 針對絕對路徑檔案名稱項目執行目錄部分之擴展的方式中發現一個堆疊型緩衝區溢位瑕疵。遠端攻擊者可提供特製的 ISO 檔案，當透過 fuseiso 工具掛載時，會導致 fuseiso 二進位損毀，或可能以執行 fuseiso 可執行檔的使用者權限來執行任意程式碼。

此問題的發現者為 Red Hat 產品安全性團隊的 Florian Weimer。

透過檢查絕對路徑名稱的結果長度及超出平台的 PATH_MAX 值時結束，可解決此問題。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

解決方案

升級受影響的 fuseiso 套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2015/10/msg00001.html

https://packages.debian.org/source/squeeze-lts/fuseiso

Plugin 詳細資訊

嚴重性: High

ID: 86226

檔案名稱: debian_DLA-323.nasl

版本: 2.4

類型: local

代理程式: unix

系列: Debian Local Security Checks

已發布: 2015/10/2

已更新: 2021/1/11

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:fuseiso, cpe:/o:debian:debian_linux:6.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

修補程式發佈日期: 2015/10/1