CVE-2014-9653 [高] | Input Validation Bypass（File）

readelf.c in file before 5.22, as used in the Fileinfo component in PHP before 5.4.37, 5.5.x before 5.5.21, and 5.6.x before 5.6.5, does not consider that pread calls sometimes read only a subset of the available data, which allows remote attackers to cause a denial of service (uninitialized memory access) or possibly have unspecified other impact via a crafted ELF file.

#	日付	旧 EPSS スコア	新 EPSS スコア	Δ（新 − 旧）
1	2026-06-15	6.83%	4.68%	-2.15%
2	2025-12-28	2.96%	6.83%	+3.86%
3	2025-12-27	—	2.96%	—

日付

旧 EPSS スコア

新 EPSS スコア

Δ（新 − 旧）

2026-06-15

6.83%

4.68%

-2.15%

2025-12-28

2.96%

6.83%

+3.86%

2025-12-27

—

2.96%

—

ベーススコア	バージョン	深刻度	ベクトル	悪用しやすさ	影響	スコアの出典
7.5	2.0	HIGH	`AV:N/AC:L/Au:N/C:P/I:P/A:P` クリックして展開アクセス経路 (AV:N) ルーティング可能なネットワーク越しに、遠隔から到達・悪用しうる。アクセスの複雑さ (AC:L) 手順が短く、再現性が高い。認証 (AU:N) 認証を経ずに攻撃を完結できる。機密性への影響 (C:P) 機密性は部分的に損なわれる。完全性への影響 (I:P) 完全性は部分的に損なわれる。可用性への影響 (A:P) 可用性は部分的に損なわれる。	10.0	6.4	[email protected]

ベーススコア

バージョン

深刻度

ベクトル

悪用しやすさ

影響

スコアの出典

7.5

2.0

HIGH

AV:N/AC:L/Au:N/C:P/I:P/A:P クリックして展開

アクセス経路 (AV:N): ルーティング可能なネットワーク越しに、遠隔から到達・悪用しうる。
アクセスの複雑さ (AC:L): 手順が短く、再現性が高い。
認証 (AU:N): 認証を経ずに攻撃を完結できる。
機密性への影響 (C:P): 機密性は部分的に損なわれる。
完全性への影響 (I:P): 完全性は部分的に損なわれる。
可用性への影響 (A:P): 可用性は部分的に損なわれる。

10.0

6.4

[email protected]

CVE-2014-9653 の OS トラッカー

vendor	priority	summary	link
`debian`	not yet assigned	CVE-2014-9653 not yet assigned priority: Debian including 1 source packages (file), 5 status rows across 5 suites (bookworm, bullseye, forky, sid, trixie): resolved 5.	https://security-tracker.debian.org/tracker/CVE-2014-9653
`gentoo`	normal	CVE-2014-9653: 1 GLSA(s) (201701-42), 1 atom(s) (sys-apps/file); latest impact normal.	https://bugs.gentoo.org/buglist.cgi?quicksearch=CVE-2014-9653
`redhat`	low	—	https://access.redhat.com/security/cve/CVE-2014-9653
`suse`	high	CVE-2014-9653 severity important: SUSE including 51 source package names (0.9.1:file-5.22-10.3.1, 0.9.1:file-magic-5.22-10.3.1, …), 178 product×package rows across 59 product lines (Container caasp/v4/default-http-backend, Container caasp/v4/dnsmasq-nanny, … (59 product lines)): Fixed 170, Known Not Affected 8.	https://www.suse.com/security/cve/CVE-2014-9653/
`ubuntu`	low	CVE-2014-9653 low priority: Ubuntu including 2 source packages (file, php5), 36 status rows across 18 suites (artful, bionic, cosmic, disco, eoan, focal, groovy, hirsute, lucid, precise, trusty, upstream, utopic, vivid, wily, xenial, yakkety, zesty): not-affected 19, DNE 11, ignored 4, needed 1, released 1.	https://ubuntu.com/security/CVE-2014-9653

CVE-2014-9653 の影響を受けるソフトウェア／構成

ベンダー	製品	バージョン	生の CPE
file_project	file	<= 5.21	cpe:2.3:a:file_project:file::::::::
php	php	<= 5.4.36	cpe:2.3:a:php:php::::::::
php	php	5.5.0	cpe:2.3:a:php:php:5.5.0:::::::*
php	php	5.5.0	cpe:2.3:a:php:php:5.5.0:alpha1::::::
php	php	5.5.0	cpe:2.3:a:php:php:5.5.0:alpha2::::::
php	php	5.5.0	cpe:2.3:a:php:php:5.5.0:alpha3::::::
php	php	5.5.0	cpe:2.3:a:php:php:5.5.0:alpha4::::::
php	php	5.5.0	cpe:2.3:a:php:php:5.5.0:alpha5::::::
php	php	5.5.0	cpe:2.3:a:php:php:5.5.0:alpha6::::::
php	php	5.5.0	cpe:2.3:a:php:php:5.5.0:beta1::::::
php	php	5.5.0	cpe:2.3:a:php:php:5.5.0:beta2::::::
php	php	5.5.0	cpe:2.3:a:php:php:5.5.0:beta3::::::
php	php	5.5.0	cpe:2.3:a:php:php:5.5.0:beta4::::::
php	php	5.5.0	cpe:2.3:a:php:php:5.5.0:rc1::::::
php	php	5.5.0	cpe:2.3:a:php:php:5.5.0:rc2::::::
php	php	5.5.1	cpe:2.3:a:php:php:5.5.1:::::::*
php	php	5.5.2	cpe:2.3:a:php:php:5.5.2:::::::*
php	php	5.5.3	cpe:2.3:a:php:php:5.5.3:::::::*
php	php	5.5.4	cpe:2.3:a:php:php:5.5.4:::::::*
php	php	5.5.5	cpe:2.3:a:php:php:5.5.5:::::::*
php	php	5.5.6	cpe:2.3:a:php:php:5.5.6:::::::*
php	php	5.5.7	cpe:2.3:a:php:php:5.5.7:::::::*
php	php	5.5.8	cpe:2.3:a:php:php:5.5.8:::::::*
php	php	5.5.9	cpe:2.3:a:php:php:5.5.9:::::::*
php	php	5.5.10	cpe:2.3:a:php:php:5.5.10:::::::*
php	php	5.5.11	cpe:2.3:a:php:php:5.5.11:::::::*
php	php	5.5.12	cpe:2.3:a:php:php:5.5.12:::::::*
php	php	5.5.13	cpe:2.3:a:php:php:5.5.13:::::::*
php	php	5.5.14	cpe:2.3:a:php:php:5.5.14:::::::*
php	php	5.5.15	cpe:2.3:a:php:php:5.5.15:::::::*
php	php	5.5.16	cpe:2.3:a:php:php:5.5.16:::::::*
php	php	5.5.17	cpe:2.3:a:php:php:5.5.17:::::::*
php	php	5.5.18	cpe:2.3:a:php:php:5.5.18:::::::*
php	php	5.5.19	cpe:2.3:a:php:php:5.5.19:::::::*
php	php	5.5.20	cpe:2.3:a:php:php:5.5.20:::::::*
php	php	5.6.0	cpe:2.3:a:php:php:5.6.0:alpha1::::::
php	php	5.6.0	cpe:2.3:a:php:php:5.6.0:alpha2::::::
php	php	5.6.0	cpe:2.3:a:php:php:5.6.0:alpha3::::::
php	php	5.6.0	cpe:2.3:a:php:php:5.6.0:alpha4::::::
php	php	5.6.0	cpe:2.3:a:php:php:5.6.0:alpha5::::::
php	php	5.6.0	cpe:2.3:a:php:php:5.6.0:beta1::::::
php	php	5.6.0	cpe:2.3:a:php:php:5.6.0:beta2::::::
php	php	5.6.0	cpe:2.3:a:php:php:5.6.0:beta3::::::
php	php	5.6.0	cpe:2.3:a:php:php:5.6.0:beta4::::::
php	php	5.6.1	cpe:2.3:a:php:php:5.6.1:::::::*
php	php	5.6.2	cpe:2.3:a:php:php:5.6.2:::::::*
php	php	5.6.3	cpe:2.3:a:php:php:5.6.3:::::::*
php	php	5.6.4	cpe:2.3:a:php:php:5.6.4:::::::*
debian	debian_linux	7.0	cpe:2.3:o:debian:debian_linux:7.0:::::::*

CVE-2014-9653 の参考情報

URL	タグ
http://bugs.gw.com/view.php?id=409
http://marc.info/?l=bugtraq&m=143748090628601&w=2
http://marc.info/?l=bugtraq&m=144050155601375&w=2
http://mx.gw.com/pipermail/file/2014/001649.html
http://openwall.com/lists/oss-security/2015/02/05/13
http://php.net/ChangeLog-5.php
http://rhn.redhat.com/errata/RHSA-2016-0760.html
http://www.debian.org/security/2015/dsa-3196
http://www.oracle.com/technetwork/topics/security/bulletinjul2015-2511963.html
http://www.oracle.com/technetwork/topics/security/linuxbulletinapr2016-2952096.html
http://www.oracle.com/technetwork/topics/security/linuxbulletinoct2015-2719645.html
http://www.securityfocus.com/bid/72516
https://github.com/file/file/commit/445c8fb0ebff85195be94cd9f7e1df89cade5c7f
https://security.gentoo.org/glsa/201701-42
https://usn.ubuntu.com/3686-1/

URL

タグ

http://bugs.gw.com/view.php?id=409

http://marc.info/?l=bugtraq&m=143748090628601&w=2

http://marc.info/?l=bugtraq&m=144050155601375&w=2

http://mx.gw.com/pipermail/file/2014/001649.html

http://openwall.com/lists/oss-security/2015/02/05/13

http://php.net/ChangeLog-5.php

http://rhn.redhat.com/errata/RHSA-2016-0760.html

http://www.debian.org/security/2015/dsa-3196

http://www.oracle.com/technetwork/topics/security/bulletinjul2015-2511963.html

http://www.oracle.com/technetwork/topics/security/linuxbulletinapr2016-2952096.html