製品・ソフトウェアに関する情報

JVN脆弱性詳細

Fine Free File Command におけるサービス運用妨害 (DoS) の脆弱性

タイトル	Fine Free File Command におけるサービス運用妨害 (DoS) の脆弱性
概要	Fine Free File Command には、サービス運用妨害 (無限再帰、CPU 消費、およびクラッシュ) 状態にされる脆弱性が存在します。
想定される影響	攻撃者により、ファイルの magic 内の巧妙に細工された間接オフセット値を介して、サービス運用妨害 (無限再帰、CPU 消費、およびクラッシュ) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2014年2月12日0:00
登録日	2014年2月20日16:06
最終更新日	2014年11月28日16:50

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:N/I:N/A:P

影響を受けるシステム

アップル

Apple Mac OS X 10.9 から 10.9.4

file project

file 5.17 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-1943	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1943
National Vulnerability Database (NVD)
2	CVE-2014-1943	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1943
SECURITY BLOG
3	CVE-2014-1943 Resource Management Errors vulnerability in PHP	https://blogs.oracle.com/sunsecurity/entry/cve_2014_1943_resource_management

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html

ベンダー情報

No	名前	URL
Apple Security Updates
1	HT6443	http://support.apple.com/kb/HT6443
Apple セキュリティアップデート
2	HT6443	http://support.apple.com/kb/HT6443?viewlocale=ja_JP
GitHub
3	ChangeLog	https://github.com/file/file/blob/FILE5_17/ChangeLog
Red Hat Security Advisory
4	RHSA-2014:1765	https://rhn.redhat.com/errata/RHSA-2014-1765.html
The PHP Group
5	PHP 5 ChangeLog	http://www.php.net/ChangeLog-5.php

その他

No	名前	URL
JVN
1	JVNVU#93868849	http://jvn.jp/vu/JVNVU93868849/index.html

変更履歴

No	変更内容	変更日
0	[2014年02月20日] 掲載 [2014年04月08日] ベンダ情報：The PHP Group (PHP 5 ChangeLog) を追加 [2014年06月02日] ベンダ情報：オラクル (CVE-2014-1943 Resource Management Errors vulnerability in PHP) を追加 [2014年09月22日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：アップル (HT6443) を追加参考情報：JVN (JVNVU#93868849) を追加 [2014年11月28日] ベンダ情報：レッドハット (RHSA-2014:1765) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2014-1943

概要	Fine Free file before 5.17 allows context-dependent attackers to cause a denial of service (infinite recursion, CPU consumption, and crash) via a crafted indirect offset value in the magic of a file.
公表日	2014年2月19日4:55
登録日	2021年1月26日15:07
最終更新日	2024年11月21日11:05

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:fine_free_file_project:fine_free_file::::::::					5.17

構成2	以上	以下	より上	未満
cpe:2.3:a:php:php::::::::	5.5.0			5.5.10
cpe:2.3:a:php:php::::::::	5.4.0			5.4.26

構成3	以上	以下	より上	未満
cpe:2.3:o:canonical:ubuntu_linux:13.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:12.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:10.04::::-:::
cpe:2.3:o:canonical:ubuntu_linux:12.04::::-:::

構成4	以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:7.0:::::::*
cpe:2.3:o:debian:debian_linux:6.0:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://lists.opensuse.org/opensuse-updates/2014-03/msg00034.html	Mailing List Tool Signature
2	http://lists.opensuse.org/opensuse-updates/2014-03/msg00034.html	Mailing List Tool Signature
3	http://lists.opensuse.org/opensuse-updates/2014-03/msg00037.html	Mailing List Tool Signature
4	http://lists.opensuse.org/opensuse-updates/2014-03/msg00037.html	Mailing List Tool Signature
5	http://mx.gw.com/pipermail/file/2014/001327.html	Broken Link
6	http://mx.gw.com/pipermail/file/2014/001327.html	Broken Link
7	http://mx.gw.com/pipermail/file/2014/001330.html	Broken Link
8	http://mx.gw.com/pipermail/file/2014/001330.html	Broken Link
9	http://mx.gw.com/pipermail/file/2014/001334.html	Broken Link
10	http://mx.gw.com/pipermail/file/2014/001334.html	Broken Link
11	http://mx.gw.com/pipermail/file/2014/001337.html	Broken Link
12	http://mx.gw.com/pipermail/file/2014/001337.html	Broken Link
13	http://rhn.redhat.com/errata/RHSA-2014-1765.html	Third Party Advisory
14	http://rhn.redhat.com/errata/RHSA-2014-1765.html	Third Party Advisory
15	http://support.apple.com/kb/HT6443	Third Party Advisory
16	http://support.apple.com/kb/HT6443	Third Party Advisory
17	http://www.debian.org/security/2014/dsa-2861	Third Party Advisory
18	http://www.debian.org/security/2014/dsa-2861	Third Party Advisory
19	http://www.debian.org/security/2014/dsa-2868	Third Party Advisory
20	http://www.debian.org/security/2014/dsa-2868	Third Party Advisory
21	http://www.php.net/ChangeLog-5.php	Release Notes Vendor Advisory
22	http://www.php.net/ChangeLog-5.php	Release Notes Vendor Advisory
23	http://www.ubuntu.com/usn/USN-2123-1	Third Party Advisory
24	http://www.ubuntu.com/usn/USN-2123-1	Third Party Advisory
25	http://www.ubuntu.com/usn/USN-2126-1	Third Party Advisory
26	http://www.ubuntu.com/usn/USN-2126-1	Third Party Advisory
27	https://github.com/glensc/file/blob/FILE5_17/ChangeLog	Release Notes Third Party Advisory
28	https://github.com/glensc/file/blob/FILE5_17/ChangeLog	Release Notes Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-755	例外的な状態における不適切な処理	https://cwe.mitre.org/data/definitions/755.html