Debian セキュリティ勧告

DLA-99-1 flac -- LTS セキュリティ更新

報告日時:
2014-12-05
影響を受けるパッケージ:
flac
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-8962, CVE-2014-9028.
詳細:

Google セキュリティチームの Michele Spagnuolo さんと Red Hat の Miroslav Lichvar さんが、Free Lossless Audio Codec メディアを処理するライブラリ flac に問題を2件発見しています: 特別に細工した FLAC ファイルを提供することで攻撃者は任意のコードの実行が可能です。

  • CVE-2014-8962

    stream_decoder.c にヒープベースのバッファオーバーフローがあり、 特別に細工した .flac ファイルを経由して、 リモートの攻撃者に任意のコードの実行を許します。

  • CVE-2014-9028

    stream_decoder.c にスタックベースのバッファオーバーフローがあり、 特別に細工した .flac ファイルを経由して、 リモートの攻撃者に任意のコードの実行を許します。

Debian 6Squeezeでは、この問題は flac バージョン 1.2.1-2+deb6u1 で修正されています。