Risques

  • Déni de service
  • Exécution de code arbitraire

Systèmes affectés

La version de GNU Binutils 2.16.1 ainsi que celles antérieures.

Résumé

Une vulnérabilité dans GNU Binutils peut permettre à un utilisateur malveillant de créer un déni de service ou d'exécuter des commandes arbitraires sur le système vulnérable.

Description

GNU Binutils est un groupe d'outils fourni dans la plupart des distributions Linux, et permettant de travailler sur des fichiers au format binaire : parmi eux se trouvent strings (pour lister les chaînes de caractères inclues dans le code binaire), ld (ou GNU Linker pour terminer une compilation), l'assembleur as, etc. Ces outils emploient un ensemble commun de bibliothèques.

Une vulnérabilité a été identifiée dans l'une d'entre elles, libbfd : elle ne gère pas correctement, quand un fichier contient une entrée au format Tektronix Hex (TekHex), une valeur dont la longueur ne correspond pas à un caractère hexadécimal. Un utilisateur malveillant peut donc construire un fichier particulier pour créer un débordement de tampon. Ce dernier peut provoquer un déni de service ou l'exécution de commandes arbitraires dans le cas où une personne le manipule avec l'un des outils GNU Binutils.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation