Risques
- Déni de service
- Exécution de code arbitraire
Systèmes affectés
La version de GNU Binutils 2.16.1 ainsi que celles antérieures.
Résumé
Une vulnérabilité dans GNU Binutils peut permettre à un utilisateur malveillant de créer un déni de service ou d'exécuter des commandes arbitraires sur le système vulnérable.
Description
GNU Binutils est un groupe d'outils fourni dans la plupart des distributions Linux, et permettant de travailler sur des fichiers au format binaire : parmi eux se trouvent strings (pour lister les chaînes de caractères inclues dans le code binaire), ld (ou GNU Linker pour terminer une compilation), l'assembleur as, etc. Ces outils emploient un ensemble commun de bibliothèques.
Une vulnérabilité a été identifiée dans l'une d'entre elles, libbfd : elle ne gère pas correctement, quand un fichier contient une entrée au format Tektronix Hex (TekHex), une valeur dont la longueur ne correspond pas à un caractère hexadécimal. Un utilisateur malveillant peut donc construire un fichier particulier pour créer un débordement de tampon. Ce dernier peut provoquer un déni de service ou l'exécution de commandes arbitraires dans le cas où une personne le manipule avec l'un des outils GNU Binutils.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Référence du bogue et correctif provisoire : http://sourceware.org/bugzilla/show_bug_cgi?id=2584
- Site du projet GNU Binutils : http://www.gnu.org/software/binutils/
- Référence CVE CVE-2006-2362 https://www.cve.org/CVERecord?id=CVE-2006-2362