Vulnérabilités informatiques de Google Android Lollipop

bulletin de vulnérabilité informatique CVE-2013-4397

libtar : débordement d'entier de th_read

Synthèse de la vulnérabilité

Un attaquant peut provoquer un débordement d'entier dans la fonction th_read() de libtar, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Debian, BIG-IP Hardware, TMOS, Fedora, Android OS, RHEL, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Date création : 10/10/2013.
Références : CVE-2013-4397, DSA-2817-1, FEDORA-2013-18785, FEDORA-2013-18808, MDVSA-2013:253, RHSA-2013:1418-01, SOL16015326, VIGILANCE-VUL-13578.

Description de la vulnérabilité

La bibliothèque libtar permet d'extraire les archives TAR.

La fonction th_read() du fichier lib/block.c lit les entêtes des blocs TAR. Cependant, si les champs du fichier TAR sont trop grands, une multiplication déborde, et une zone mémoire trop courte est allouée.

Un attaquant peut donc provoquer un débordement d'entier dans la fonction th_read() de libtar, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Google Android Lollipop :

https://www.android.com/