Vigil@nce - GNU patch : boucle infinie de Line Number
janvier 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer un fichier patch illicite, pour provoquer
une boucle infinie dans patch, afin de mener un déni de service.
Produits concernés : Unix (plateforme)
Gravité : 1/4
Date création : 22/01/2015
DESCRIPTION DE LA VULNÉRABILITÉ
La commande GNU patch analyse un fichier qui indique des
modifications à apporter.
Le fichier utilise la syntaxe "@@ numéros de ligne @@" pour
indiquer les lignes à modifier, et la taille de la zone
modifiée. Cependant, si le fichier emploie un numéro de ligne
très grand, alors une grande boucle se produit et consomme toute
la mémoire.
Un attaquant peut donc créer un fichier patch illicite, pour
provoquer une boucle infinie dans patch, afin de mener un déni de
service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/GNU-patch-boucle-infinie-de-Line-Number-16035