製品・ソフトウェアに関する情報

JVN脆弱性詳細

dosfstools の fat.c の set_fat 関数における FAT12 ファイルシステムを破損される脆弱性

Title	dosfstools の fat.c の set_fat 関数における FAT12 ファイルシステムを破損される脆弱性
Summary	dosfstools の fat.c の set_fat 関数には、FAT12 ファイルシステムを破損される、またはサービス運用妨害 (不正なメモリ読み込みおよびクラッシュ) 状態にされる脆弱性が存在します。
Possible impacts	攻撃者により、FAT12 ファイルシステム上の最後から三番目のエントリへの奇数クラスタの書き込みを介して、二つずれエラー (off-by-two error) を誘発されることで、FAT12 ファイルシステムを破損される、またはサービス運用妨害 (不正なメモリ読み込みおよびクラッシュ) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Sept. 12, 2015, midnight
Registration Date	June 6, 2016, 4:04 p.m.
Last Update	June 6, 2016, 4:04 p.m.

Affected System

Canonical

Ubuntu 12.04 LTS

Ubuntu 14.04 LTS

Ubuntu 15.10

Ubuntu 16.04 LTS

openSUSE project

openSUSE 13.2

openSUSE Leap 42.1

dosfstools project

dosfstools 4.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-8872	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8872
National Vulnerability Database (NVD)
2	CVE-2015-8872	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8872

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-189	https://jvndb.jvn.jp/ja/cwe/CWE-189.html

ベンダー情報

No	Name	URL
GitHub
1	dosfstools 4.0	https://github.com/dosfstools/dosfstools/releases/tag/v4.0
2	fsck.vfat invalid memory access in get_fat #12	https://github.com/dosfstools/dosfstools/issues/12
3	set_fat(): Fix off-by-2 error leading to corruption in FAT12	https://github.com/dosfstools/dosfstools/commit/07908124838afcc99c577d1d3e84cef2dbd39cb7
opensuse-updates
4	openSUSE-SU-2016:1461	https://lists.opensuse.org/opensuse-updates/2016-06/msg00001.html
Ubuntu Security Notice
5	USN-2986-1	http://www.ubuntu.com/usn/USN-2986-1/

Change Log

No	Changed Details	Date of change
0	[2016年06月06日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2015-8872

Summary	The set_fat function in fat.c in dosfstools before 4.0 might allow attackers to corrupt a FAT12 filesystem or cause a denial of service (invalid memory read and crash) by writing an odd number of clusters to the third to last entry on a FAT12 filesystem, which triggers an "off-by-two error."
Publication Date	June 3, 2016, 11:59 p.m.
Registration Date	Jan. 26, 2021, 2:59 p.m.
Last Update	Nov. 21, 2024, 11:39 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:canonical:ubuntu_linux:12.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:16.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:15.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:14.04::::lts:::

Configuration3		or higher	or less	more than	less than
cpe:2.3:a:dosfstools_project:dosfstools::::::::			3.0.28

Related information, measures and tools

No	URL	タグ
1	http://lists.opensuse.org/opensuse-updates/2016-06/msg00001.html
2	http://lists.opensuse.org/opensuse-updates/2016-06/msg00001.html
3	http://lists.opensuse.org/opensuse-updates/2016-09/msg00014.html
4	http://lists.opensuse.org/opensuse-updates/2016-09/msg00014.html
5	http://www.securityfocus.com/bid/90311
6	http://www.securityfocus.com/bid/90311
7	http://www.ubuntu.com/usn/USN-2986-1
8	http://www.ubuntu.com/usn/USN-2986-1
9	https://blog.fuzzing-project.org/44-dosfstools-fsck.vfat-Several-invalid-memory-accesses.html	Vendor Advisory
10	https://blog.fuzzing-project.org/44-dosfstools-fsck.vfat-Several-invalid-memory-accesses.html	Vendor Advisory
11	https://github.com/dosfstools/dosfstools/commit/07908124838afcc99c577d1d3e84cef2dbd39cb7
12	https://github.com/dosfstools/dosfstools/commit/07908124838afcc99c577d1d3e84cef2dbd39cb7
13	https://github.com/dosfstools/dosfstools/issues/12	Vendor Advisory
14	https://github.com/dosfstools/dosfstools/issues/12	Vendor Advisory
15	https://github.com/dosfstools/dosfstools/releases/tag/v4.0	Patch
16	https://github.com/dosfstools/dosfstools/releases/tag/v4.0	Patch
17	https://lists.debian.org/debian-lts-announce/2020/05/msg00028.html
18	https://lists.debian.org/debian-lts-announce/2020/05/msg00028.html

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-189	数値処理の問題	https://cwe.mitre.org/data/definitions/189.html