Debian セキュリティ勧告

DSA-2854-1 mumble -- 複数の脆弱性

報告日時:
2014-02-05
影響を受けるパッケージ:
mumble
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 737739.
Mitre の CVE 辞書: CVE-2014-0044, CVE-2014-0045.
詳細:

複数の問題が mumble、遅延の少ない VoIP クライアントに発見されています。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

  • CVE-2014-0044

    異常な Opus 音声パケットを Mumble クライアントに送ることで NULL ポインタ参照や範囲外配列へのアクセスを引き起こす可能性があることが発見されました。 悪意のあるリモートの攻撃者がこの欠陥を悪用してアプリケーションのクラッシュを引き起こすことにより mumble クライアントに対するサービス拒否攻撃を仕掛けることが可能です。

  • CVE-2014-0045

    異常な Opus 音声パケットを Mumble クライアントに送ることで ヒープベースのバッファオーバーフローを引き起こす可能性があることが発見されました。 悪意のあるリモートの攻撃者がこの欠陥を悪用して、クライアントのクラッシュ (サービス拒否) や潜在的には任意のコードの実行を引き起こすことが可能です。

旧安定版 (oldstable) ディストリビューション (squeeze) にはこの問題による影響はありません。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.2.3-349-g315b5f5-2.2+deb7u1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修正予定です。

直ちに mumble パッケージをアップグレードすることを勧めます。