Bulletin d'alerte Debian

DLA-393-1 srtp -- Mise à jour de sécurité pour LTS

Date du rapport :
18 janvier 2016
Paquets concernés :
srtp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-6360.
Plus de précisions :

Prévention dans srtp d'une attaque potentielle par déni de service à cause de l'absence de vérification de limites du nombre CSRC de l'en-tête RTP et de longueur de l'en-tête d'extension. Le mérite d'avoir rapporté ce problème revient à Randell Jesup et à l'équipe Firefox.

(Comme le mode AEAD n'est disponible dans la version de Squeeze, seul srtp_unprotect() a besoin d'être corrigé)