Bulletin d'alerte Debian

DLA-99-1 flac -- Mise à jour de sécurité pour LTS

Date du rapport :
5 décembre 2014
Paquets concernés :
flac
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-8962, CVE-2014-9028.
Plus de précisions :

Michele Spagnuolo, de l’équipe de sécurité de Google, et Miroslav Lichvar, de Red Hat, ont découvert deux problèmes dans flac, une bibliothèque de traitement de média FLAC (Free Lossless Audio Codec) : en fournissant un fichier FLAC contrefait pour l’occasion, un attaquant pourrait exécuter du code arbitraire.

  • CVE-2014-8962

    Dépassement de tas dans stream_décodeur.c, permettant à des attaquants distants d’exécuter du code arbitraire à l'aide d'un fichier FLAC contrefait pour l’occasion.

  • CVE-2014-9028

    Dépassement de pile dans stream_décodeur.c, permettant à des attaquants distants d’exécuter du code arbitraire à l'aide d'un fichier FLAC contrefait pour l’occasion.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans flac version 1.2.1-2+deb6u1.