S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 23 mai 2006
N° CERTA-2006-AVI-214
Affaire suivie par: CERT-FR
le 23 mai 2006

Avis du CERT-FR

Objet: Vulnérabilité de GNU Binutils

Gestion du document

Référence CERTA-2006-AVI-214
Titre Vulnérabilité de GNU Binutils
Date de la première version 23 mai 2006
Date de la dernière version 23 mai 2006
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire ;
  • déni de service.

Systèmes affectés

La version de GNU Binutils 2.16.1 ainsi que celles antérieures.

Résumé

Une vulnérabilité dans GNU Binutils peut permettre à un utilisateur malveillant de créer un déni de service ou d'exécuter des commandes arbitraires sur le système vulnérable.

Description

GNU Binutils est un groupe d'outils fourni dans la plupart des distributions Linux, et permettant de travailler sur des fichiers au format binaire : parmi eux se trouvent strings (pour lister les chaînes de caractères inclues dans le code binaire), ld (ou GNU Linker pour terminer une compilation), l'assembleur as, etc. Ces outils emploient un ensemble commun de bibliothèques.

Une vulnérabilité a été identifiée dans l'une d'entre elles, libbfd : elle ne gère pas correctement, quand un fichier contient une entrée au format Tektronix Hex (TekHex), une valeur dont la longueur ne correspond pas à un caractère hexadécimal. Un utilisateur malveillant peut donc construire un fichier particulier pour créer un débordement de tampon. Ce dernier peut provoquer un déni de service ou l'exécution de commandes arbitraires dans le cas où une personne le manipule avec l'un des outils GNU Binutils.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 23 mai 2006
    version initiale.