Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Fine Free file : déni de service via awk BEGIN

juillet 2014 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut inviter la victime à analyser un grand fichier
avec Fine Free file, afin de mener un déni de service lors de la
tentative de détection du format AWK.

Produits concernés : Unix (plateforme)

Gravité : 1/4

Date création : 03/07/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme Fine Free file (libmagic) analyse les fichiers, afin
de reconnaître automatiquement leur type. Le module Fileinfo de
PHP utilise aussi libmagic.

Le langage AWK utilise une syntaxe contenant "BEGIN ". Le
programme Fine Free file utilise donc l’expression régulière
suivante pour détecter les scripts AWK (type MIME text/x-awk) :
\s*BEGIN\s*[]

Cependant, si le fichier contient de nombreux sauts de lignes,
cette expression régulière est lente, car des nombreuses
recherches arrières ("backtracking") se produisent.

Un attaquant peut donc inviter la victime à analyser un grand
fichier avec Fine Free file, afin de mener un déni de service lors
de la tentative de détection du format AWK.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Fine-Free-file-deni-de-service-via-awk-BEGIN-14984


Voir les articles précédents

    

Voir les articles suivants