漏洞信息详情

e2fsprogs libext2fs库基于堆的缓冲区溢出漏洞

• CNNVD编号：CNNVD-201502-189
• 危害等级： 中危
  
• CVE编号： CVE-2015-0247
• 漏洞类型： 缓冲区溢出
• 发布时间： 2015-01-29
• 威胁类型： 本地
• 更新时间： 2015-02-25
• 厂        商： fedoraproject
• 漏洞来源： Jose Duart of Goog...

漏洞简介

e2fsprogs（又名e2fs programs）是美国软件开发者曹子德（Theodore Y. Ts\'\'o）所研发的一套用以维护ext2、ext3和ext4文件系统（是大多数Linux发行版默认的文件系统）的工具程序集。

e2fsprogs 1.42.11及之前版本的libext2fs库中的openfs.c文件存在基于堆的缓冲区溢出漏洞。本地攻击者可借助文件系统映像中的块组描述符数据利用该漏洞执行任意代码。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://www.debian.org/security/2015/dsa-3166

参考网址

来源:FEDORA

链接:http://lists.fedoraproject.org/pipermail/package-announce/2015-February/149434.HTML

来源:bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=1187032

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/130283/e2fsprogs-Input-Sanitization.HTML

来源:XF

链接:http://xforce.iss.net/xforce/xfdb/100740

来源:US-CERT Vulnerability Note:www.ocert.org

链接:http://www.ocert.org/advisories/ocert-2015-002.HTML

来源:BID

链接:http://www.securityfocus.com/bid/72520

来源:git.kernel.org

链接:http://git.kernel.org/cgit/fs/ext2/e2fsprogs.git/commit/?id=f66e6ce4

来源:BUGTRAQ

链接:http://www.securityfocus.com/archive/1/archive/1/534633/100/0/threaded

来源:MANDRIVA

链接:http://www.mandriva.com/security/advisories?name=MDVSA-2015:045

受影响实体

• Fedoraproject Fedora:21  
• Fedoraproject Fedora:20  

补丁

• e2fsprogs-1.42.12