Bulletin d'alerte Debian

DSA-2257-1 vlc -- Débordement de mémoire tampon basée sur le tas

Date du rapport :
10 juin 2011
Paquets concernés :
vlc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-2194.
Plus de précisions :

Rocco Calvi a découvert que l'analyseur de liste de lecture XSPF de VLC, un lecteur multimédia et de flux, est prédisposé à un débordement d'entier ayant pour conséquence un débordement de mémoire tampon. Cela peut permettre à un attaquant d'exécuter du code arbitraire en piégeant une victime dans l'ouverture d'un fichier contrefait pour l'occasion.

La distribution oldstable (Lenny) n'est pas concernée par ce problème.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.1.3-1squeeze6.

Pour les distributions testing (Wheezy) et unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets vlc.