CERTA-2006-AVI-214
Vulnerability from certfr_avis

Une vulnérabilité dans GNU Binutils peut permettre à un utilisateur malveillant de créer un déni de service ou d'exécuter des commandes arbitraires sur le système vulnérable.

Description

GNU Binutils est un groupe d'outils fourni dans la plupart des distributions Linux, et permettant de travailler sur des fichiers au format binaire : parmi eux se trouvent strings (pour lister les chaînes de caractères inclues dans le code binaire), ld (ou GNU Linker pour terminer une compilation), l'assembleur as, etc. Ces outils emploient un ensemble commun de bibliothèques.

Une vulnérabilité a été identifiée dans l'une d'entre elles, libbfd : elle ne gère pas correctement, quand un fichier contient une entrée au format Tektronix Hex (TekHex), une valeur dont la longueur ne correspond pas à un caractère hexadécimal. Un utilisateur malveillant peut donc construire un fichier particulier pour créer un débordement de tampon. Ce dernier peut provoquer un déni de service ou l'exécution de commandes arbitraires dans le cas où une personne le manipule avec l'un des outils GNU Binutils.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

La version de GNU Binutils 2.16.1 ainsi que celles antérieures.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eLa version de GNU Binutils 2.16.1 ainsi que celles  ant\u00e9rieures.\u003c/P\u003e",
  "content": "## Description\n\nGNU Binutils est un groupe d\u0027outils fourni dans la plupart des\ndistributions Linux, et permettant de travailler sur des fichiers au\nformat binaire : parmi eux se trouvent strings (pour lister les cha\u00eenes\nde caract\u00e8res inclues dans le code binaire), ld (ou GNU Linker pour\nterminer une compilation), l\u0027assembleur as, etc. Ces outils emploient un\nensemble commun de biblioth\u00e8ques.\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans l\u0027une d\u0027entre elles, libbfd :\nelle ne g\u00e8re pas correctement, quand un fichier contient une entr\u00e9e au\nformat Tektronix Hex (TekHex), une valeur dont la longueur ne correspond\npas \u00e0 un caract\u00e8re hexad\u00e9cimal. Un utilisateur malveillant peut donc\nconstruire un fichier particulier pour cr\u00e9er un d\u00e9bordement de tampon.\nCe dernier peut provoquer un d\u00e9ni de service ou l\u0027ex\u00e9cution de commandes\narbitraires dans le cas o\u00f9 une personne le manipule avec l\u0027un des outils\nGNU Binutils.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2006-2362",
      "url": "https://www.cve.org/CVERecord?id=CVE-2006-2362"
    }
  ],
  "initial_release_date": "2006-05-23T00:00:00",
  "last_revision_date": "2006-05-23T00:00:00",
  "links": [
    {
      "title": "Site du projet GNU Binutils :",
      "url": "http://www.gnu.org/software/binutils/"
    },
    {
      "title": "R\u00e9f\u00e9rence du bogue et correctif provisoire :",
      "url": "http://sourceware.org/bugzilla/show_bug_cgi?id=2584"
    }
  ],
  "reference": "CERTA-2006-AVI-214",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2006-05-23T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans GNU Binutils peut permettre \u00e0 un utilisateur\nmalveillant de cr\u00e9er un d\u00e9ni de service ou d\u0027ex\u00e9cuter des commandes\narbitraires sur le syst\u00e8me vuln\u00e9rable.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de GNU Binutils",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.