製品・ソフトウェアに関する情報

JVN脆弱性詳細

dosfstools の fat.c の set_fat 関数における FAT12 ファイルシステムを破損される脆弱性

タイトル	dosfstools の fat.c の set_fat 関数における FAT12 ファイルシステムを破損される脆弱性
概要	dosfstools の fat.c の set_fat 関数には、FAT12 ファイルシステムを破損される、またはサービス運用妨害 (不正なメモリ読み込みおよびクラッシュ) 状態にされる脆弱性が存在します。
想定される影響	攻撃者により、FAT12 ファイルシステム上の最後から三番目のエントリへの奇数クラスタの書き込みを介して、二つずれエラー (off-by-two error) を誘発されることで、FAT12 ファイルシステムを破損される、またはサービス運用妨害 (不正なメモリ読み込みおよびクラッシュ) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2015年9月12日0:00
登録日	2016年6月6日16:04
最終更新日	2016年6月6日16:04

影響を受けるシステム

Canonical

Ubuntu 12.04 LTS

Ubuntu 14.04 LTS

Ubuntu 15.10

Ubuntu 16.04 LTS

openSUSE project

openSUSE 13.2

openSUSE Leap 42.1

dosfstools project

dosfstools 4.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-8872	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8872
National Vulnerability Database (NVD)
2	CVE-2015-8872	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8872

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-189	https://jvndb.jvn.jp/ja/cwe/CWE-189.html

ベンダー情報

No	名前	URL
GitHub
1	dosfstools 4.0	https://github.com/dosfstools/dosfstools/releases/tag/v4.0
2	fsck.vfat invalid memory access in get_fat #12	https://github.com/dosfstools/dosfstools/issues/12
3	set_fat(): Fix off-by-2 error leading to corruption in FAT12	https://github.com/dosfstools/dosfstools/commit/07908124838afcc99c577d1d3e84cef2dbd39cb7
opensuse-updates
4	openSUSE-SU-2016:1461	https://lists.opensuse.org/opensuse-updates/2016-06/msg00001.html
Ubuntu Security Notice
5	USN-2986-1	http://www.ubuntu.com/usn/USN-2986-1/

変更履歴

No	変更内容	変更日
0	[2016年06月06日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2015-8872

概要	The set_fat function in fat.c in dosfstools before 4.0 might allow attackers to corrupt a FAT12 filesystem or cause a denial of service (invalid memory read and crash) by writing an odd number of clusters to the third to last entry on a FAT12 filesystem, which triggers an "off-by-two error."
公表日	2016年6月3日23:59
登録日	2021年1月26日14:59
最終更新日	2024年11月21日11:39

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:canonical:ubuntu_linux:12.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:16.04::::lts:::
cpe:2.3:o:canonical:ubuntu_linux:15.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:14.04::::lts:::

構成3		以上	以下	より上	未満
cpe:2.3:a:dosfstools_project:dosfstools::::::::			3.0.28

関連情報、対策とツール

No	URL	タグ
1	http://lists.opensuse.org/opensuse-updates/2016-06/msg00001.html
2	http://lists.opensuse.org/opensuse-updates/2016-06/msg00001.html
3	http://lists.opensuse.org/opensuse-updates/2016-09/msg00014.html
4	http://lists.opensuse.org/opensuse-updates/2016-09/msg00014.html
5	http://www.securityfocus.com/bid/90311
6	http://www.securityfocus.com/bid/90311
7	http://www.ubuntu.com/usn/USN-2986-1
8	http://www.ubuntu.com/usn/USN-2986-1
9	https://blog.fuzzing-project.org/44-dosfstools-fsck.vfat-Several-invalid-memory-accesses.html	Vendor Advisory
10	https://blog.fuzzing-project.org/44-dosfstools-fsck.vfat-Several-invalid-memory-accesses.html	Vendor Advisory
11	https://github.com/dosfstools/dosfstools/commit/07908124838afcc99c577d1d3e84cef2dbd39cb7
12	https://github.com/dosfstools/dosfstools/commit/07908124838afcc99c577d1d3e84cef2dbd39cb7
13	https://github.com/dosfstools/dosfstools/issues/12	Vendor Advisory
14	https://github.com/dosfstools/dosfstools/issues/12	Vendor Advisory
15	https://github.com/dosfstools/dosfstools/releases/tag/v4.0	Patch
16	https://github.com/dosfstools/dosfstools/releases/tag/v4.0	Patch
17	https://lists.debian.org/debian-lts-announce/2020/05/msg00028.html
18	https://lists.debian.org/debian-lts-announce/2020/05/msg00028.html

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-189	数値処理の問題	https://cwe.mitre.org/data/definitions/189.html