Рекомендация Debian по безопасности

DLA-317-1 vorbis-tools -- обновление безопасности LTS

Дата сообщения:
29.09.2015
Затронутые пакеты:
vorbis-tools
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-9638, CVE-2014-9639, CVE-2014-9640, CVE-2015-6749.
Более подробная информация:

В пакете vorbis-tools в Debian LTS (squeeze) были исправлены различные проблемы.

  • CVE-2014-9638

    Специально сформированный файл WAV с рядом каналов, выставленных в значение 0, приводит к аварийной остановке oggenc из-за проблемы с делением на ноль. Эта проблема была исправлена в основной ветке разработки путём подготовки заплаты для CVE-2014-9639. Авторам основной ветки о проблеме сообщил zuBux.

  • CVE-2014-9639

    В oggenc было обнаружено переполнение целых чисел, связанное с числом каналов во входном файле WAV. Проблема возникает при обращении за пределы выделенного буфера памяти, которое приводит к аварийной остановке oggenc (audio.c). Авторам основной ветки о проблеме сообщил zuBux.

    Исправление из основной ветки разработки было адаптировано для vorbis-tools в Debian LTS (squeeze).

  • CVE-2014-9640

    Исправление аварийной остановки при закрытии необработанных входных данных (dd if=/dev/zero bs=1 count=1 | oggenc -r - -o out.ogg). Авторам основной ветки о проблеме сообщил hanno.

    Исправление из основной ветки разработки было адаптировано для vorbis-tools в Debian LTS (squeeze).

  • CVE-2015-6749

    Переполнение буфера в функции aiff_open в oggenc/audio.c в vorbis-tools версии 1.4.0 или более ранних позволяет удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) с помощью специально сформированного файла AIFF. Авторам основной ветки о проблеме сообщил pengsu.

    Исправление из основной ветки разработки было адаптировано для vorbis-tools в Debian LTS (squeeze).