Debians sikkerhedsbulletin

DSA-2854-1 mumble -- flere sårbarheder

Rapporteret den:
5. feb 2014
Berørte pakker:
mumble
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 737739.
I Mitres CVE-ordbog: CVE-2014-0044, CVE-2014-0045.
Yderligere oplysninger:

Flere problemer er opdaget i mumble, en VoIP-klient med lav latency. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2014-0044

    Man opdagede at en misdannet Opus-voice-pakke sendt til en Mumble-klient, kunne udløse en NULL-pointerdereference eller tilgang til et array uden for grænserne. En ondsindet fjernangriber kunne udnytte fejlen til at indlede et lammelsesangreb (denial of service) mod en mumble-klient, ved at få applikationen til at gå ned.

  • CVE-2014-0045

    Man opdagede at en misdannet Opus-voice-pakke sendt til en Mumble-klient, kunne udløse et heapbaseret bufferoverløb. En ondsindet fjernangriber kunne udnytte fejlen til at få klienten til at gå ned (lammelsesangreb) eller potentielt anvende den til at udføre vilkårlig kode.

Den gamle stabile distribution (squeeze) er ikke påvirket af disse problemer.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.2.3-349-g315b5f5-2.2+deb7u1.

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine mumble-pakker.