製品・ソフトウェアに関する情報

JVN脆弱性詳細

Fine Free File Command におけるサービス運用妨害 (DoS) の脆弱性

Title	Fine Free File Command におけるサービス運用妨害 (DoS) の脆弱性
Summary	Fine Free File Command には、サービス運用妨害 (無限再帰、CPU 消費、およびクラッシュ) 状態にされる脆弱性が存在します。
Possible impacts	攻撃者により、ファイルの magic 内の巧妙に細工された間接オフセット値を介して、サービス運用妨害 (無限再帰、CPU 消費、およびクラッシュ) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Feb. 12, 2014, midnight
Registration Date	Feb. 20, 2014, 4:06 p.m.
Last Update	Nov. 28, 2014, 4:50 p.m.

CVSS2.0 : 警告
Score	5
Vector	AV:N/AC:L/Au:N/C:N/I:N/A:P

Affected System

アップル

Apple Mac OS X 10.9 から 10.9.4

file project

file 5.17 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-1943	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1943
National Vulnerability Database (NVD)
2	CVE-2014-1943	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1943
SECURITY BLOG
3	CVE-2014-1943 Resource Management Errors vulnerability in PHP	https://blogs.oracle.com/sunsecurity/entry/cve_2014_1943_resource_management

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html

ベンダー情報

No	Name	URL
Apple Security Updates
1	HT6443	http://support.apple.com/kb/HT6443
Apple セキュリティアップデート
2	HT6443	http://support.apple.com/kb/HT6443?viewlocale=ja_JP
GitHub
3	ChangeLog	https://github.com/file/file/blob/FILE5_17/ChangeLog
Red Hat Security Advisory
4	RHSA-2014:1765	https://rhn.redhat.com/errata/RHSA-2014-1765.html
The PHP Group
5	PHP 5 ChangeLog	http://www.php.net/ChangeLog-5.php

その他

No	Name	URL
JVN
1	JVNVU#93868849	http://jvn.jp/vu/JVNVU93868849/index.html

Change Log

No	Changed Details	Date of change
0	[2014年02月20日] 掲載 [2014年04月08日] ベンダ情報：The PHP Group (PHP 5 ChangeLog) を追加 [2014年06月02日] ベンダ情報：オラクル (CVE-2014-1943 Resource Management Errors vulnerability in PHP) を追加 [2014年09月22日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：アップル (HT6443) を追加参考情報：JVN (JVNVU#93868849) を追加 [2014年11月28日] ベンダ情報：レッドハット (RHSA-2014:1765) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2014-1943

Summary	Fine Free file before 5.17 allows context-dependent attackers to cause a denial of service (infinite recursion, CPU consumption, and crash) via a crafted indirect offset value in the magic of a file.
Publication Date	Feb. 19, 2014, 4:55 a.m.
Registration Date	Jan. 26, 2021, 3:07 p.m.
Last Update	Nov. 21, 2024, 11:05 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:fine_free_file_project:fine_free_file::::::::					5.17

Configuration2	or higher	or less	more than	less than
cpe:2.3:a:php:php::::::::	5.5.0			5.5.10
cpe:2.3:a:php:php::::::::	5.4.0			5.4.26

Configuration3	or higher	or less	more than	less than
cpe:2.3:o:canonical:ubuntu_linux:13.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:12.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:10.04::::-:::
cpe:2.3:o:canonical:ubuntu_linux:12.04::::-:::

Configuration4	or higher	or less	more than	less than
cpe:2.3:o:debian:debian_linux:7.0:::::::*
cpe:2.3:o:debian:debian_linux:6.0:::::::*

Related information, measures and tools

No	URL	タグ
1	http://lists.opensuse.org/opensuse-updates/2014-03/msg00034.html	Mailing List Tool Signature
2	http://lists.opensuse.org/opensuse-updates/2014-03/msg00034.html	Mailing List Tool Signature
3	http://lists.opensuse.org/opensuse-updates/2014-03/msg00037.html	Mailing List Tool Signature
4	http://lists.opensuse.org/opensuse-updates/2014-03/msg00037.html	Mailing List Tool Signature
5	http://mx.gw.com/pipermail/file/2014/001327.html	Broken Link
6	http://mx.gw.com/pipermail/file/2014/001327.html	Broken Link
7	http://mx.gw.com/pipermail/file/2014/001330.html	Broken Link
8	http://mx.gw.com/pipermail/file/2014/001330.html	Broken Link
9	http://mx.gw.com/pipermail/file/2014/001334.html	Broken Link
10	http://mx.gw.com/pipermail/file/2014/001334.html	Broken Link
11	http://mx.gw.com/pipermail/file/2014/001337.html	Broken Link
12	http://mx.gw.com/pipermail/file/2014/001337.html	Broken Link
13	http://rhn.redhat.com/errata/RHSA-2014-1765.html	Third Party Advisory
14	http://rhn.redhat.com/errata/RHSA-2014-1765.html	Third Party Advisory
15	http://support.apple.com/kb/HT6443	Third Party Advisory
16	http://support.apple.com/kb/HT6443	Third Party Advisory
17	http://www.debian.org/security/2014/dsa-2861	Third Party Advisory
18	http://www.debian.org/security/2014/dsa-2861	Third Party Advisory
19	http://www.debian.org/security/2014/dsa-2868	Third Party Advisory
20	http://www.debian.org/security/2014/dsa-2868	Third Party Advisory
21	http://www.php.net/ChangeLog-5.php	Release Notes Vendor Advisory
22	http://www.php.net/ChangeLog-5.php	Release Notes Vendor Advisory
23	http://www.ubuntu.com/usn/USN-2123-1	Third Party Advisory
24	http://www.ubuntu.com/usn/USN-2123-1	Third Party Advisory
25	http://www.ubuntu.com/usn/USN-2126-1	Third Party Advisory
26	http://www.ubuntu.com/usn/USN-2126-1	Third Party Advisory
27	https://github.com/glensc/file/blob/FILE5_17/ChangeLog	Release Notes Third Party Advisory
28	https://github.com/glensc/file/blob/FILE5_17/ChangeLog	Release Notes Third Party Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-755	例外的な状態における不適切な処理	https://cwe.mitre.org/data/definitions/755.html