Рекомендация Debian по безопасности

DLA-99-1 flac -- обновление безопасности LTS

Дата сообщения:
05.12.2014
Затронутые пакеты:
flac
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-8962, CVE-2014-9028.
Более подробная информация:

Микеле Спаньюоло из команды безопасности Google и Мирослав Личвар из Red Hat обнаружили две проблемы в flac, библиотеке для обработки мультимедиа в формате Free Lossless Audio Codec: передав специально сформированный файл FLAC, злоумышленник может выполнить произвольный код.

  • CVE-2014-8962

    Переполнение динамической памяти в stream_decoder.c позволяет удалённым злоумышленникам выполнять произвольный код с помощью специально сформированного файла .flac.

  • CVE-2014-9028

    Переполнение буфера в stream_decoder.c позволяет удалённым злоумышленникам выполнять произвольный код с помощью специально сформированного файла .flac.

В Debian 6 Squeeze эти проблемы были исправлены в пакете flac версии 1.2.1-2+deb6u1