Bulletin d'alerte Debian

DSA-3150-1 vlc -- Mise à jour de sécurité

Date du rapport :
2 février 2015
Paquets concernés :
vlc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-9626, CVE-2014-9627, CVE-2014-9628, CVE-2014-9629, CVE-2014-9630.
Plus de précisions :

Fabian Yamaguchi a découvert plusieurs vulnérabilités dans VLC, un lecteur de fichiers et flux multimédia :

  • CVE-2014-9626

    Le démultiplexeur MP4, lors de l'analyse de cases de chaînes de caractères, ne vérifie pas correctement la longueur de la case, entraînant un possible dépassement d'entier par le bas lorsque l'on utilise cette valeur de longueur dans un appel à memcpy(). Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) ou l'exécution de code arbitraire à l'aide de fichiers MP4 contrefaits.

  • CVE-2014-9627

    Le démultiplexeur MP4, lors de l'analyse de cases de chaînes de caractères, ne vérifie pas correctement si la conversion de la longueur de la case d'un entier 64 bits en un entier 32 bits sur les plates-formes 32 bits ne provoque pas une troncature, entraînant un possible dépassement de tampon. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) ou l'exécution de code arbitraire à l'aide de fichiers MP4 contrefaits.

  • CVE-2014-9628

    Le démultiplexeur MP4, lors de l'analyse de cases de chaînes de caractères, ne vérifie pas correctement la longueur de la case, entraînant un possible dépassement de tampon. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) ou l'exécution de code arbitraire à l'aide de fichiers MP4 contrefaits.

  • CVE-2014-9629

    Les encodeurs Dirac et Schroedinger n'effectuent pas correctement une vérification de dépassement d'entier sur les plate-formes 32 bits, entraînant un possible dépassement de tampon. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) ou l'exécution de code arbitraire.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.0.3-5+deb7u2.

Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.2.0~rc2-2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.2.0~rc2-2.

Nous vous recommandons de mettre à jour vos paquets vlc.