Рекомендация Debian по безопасности

DSA-2854-1 mumble -- несколько уязвимостей

Дата сообщения:
05.02.2014
Затронутые пакеты:
mumble
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 737739.
В каталоге Mitre CVE: CVE-2014-0044, CVE-2014-0045.
Более подробная информация:

В mumble, клиенте VoIP с низкой задержкой, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2014-0044

    Было обнаружено, что некорректный голосовой пакет Opus, отправленный клиенту Mumble, может вызвать разыменование NULL-указателя, либо привести к чтению за пределами массива. Злоумышленник может использовать данную проблему для осуществления атаки по принципу отказа в обслуживании против клиента mumble, что приводит к аварийному завершению приложения.

  • CVE-2014-0045

    Было обнаружено, что некорректный голосовой пакет Opus, отправленный клиенту Mumble, может вызвать переполнение динамической памяти. Злоумышленник может использовать данную проблему для аварийного завершения клиента (отказ в обслуживании), либо для потенциального выполнения произвольного кода.

Предыдущий стабильный выпуск (squeeze) не подвержен данным проблемам.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.2.3-349-g315b5f5-2.2+deb7u1.

В нестабильном выпуске (sid) эти проблемы будут исправлены позже.

Рекомендуется обновить пакеты mumble.