Рекомендация Debian по безопасности

DSA-3150-1 vlc -- обновление безопасности

Дата сообщения:
02.02.2015
Затронутые пакеты:
vlc
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-9626, CVE-2014-9627, CVE-2014-9628, CVE-2014-9629, CVE-2014-9630.
Более подробная информация:

Фабиан Ямагучи обнаружил многочисленные уязвимости в VLC, ПО для проигрывания и вещания мультимедиа:

  • CVE-2014-9626

    Демультиплексер MP4 при грамматическом разборе строковых контейнеров неправильно проверяет длину контейнера, что приводит к возможному переполнению целых чисел при использовании значения длины контейнера в вызове функции memcpy(). Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или выполнить произвольный код с помощью специально сформированных файлов MP4.

  • CVE-2014-9627

    Демультиплексор MP4 при грамматическом разборе строковых контейнеров неправильно проверяет, приводит ли к обрезанию перевод значения длины контейнера из 64-битного целого числа в 32-битное целое число на 32-битных платформах, что приводит к возможному переполнению буфера. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или выполнить произвольный код с помощью специально сформированных файлов MP4.

  • CVE-2014-9628

    Демультиплексор MP4 при грамматическом разборе строковых контейнеров неправильно проверяет длину контейнера, что приводит к возможному переполнению буфера. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или выполнить произвольный код с помощью специально сформированных файлов MP4.

  • CVE-2014-9629

    Кодировщики Dirac и Schroedinger неправильно проверяют переполнение целых чисел на 32-битных платформах, что приводит к возможному переполнению буфера. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или выполнить произвольный код.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2.0.3-5+deb7u2.

В готовящемся стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.2.0~rc2-2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.2.0~rc2-2.

Рекомендуется обновить пакеты vlc.