Debians sikkerhedsbulletin

DLA-420-1 libmatroska -- LTS-sikkerhedsopdatering

Rapporteret den:
18. feb 2016
Berørte pakker:
libmatroska
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-9765.
Yderligere oplysninger:

Man opdagede at der var et problem med en ugyldig adresse i libmatroska, et udvidbart containerformat til lyd og video, som er en åben standard.

Ved læsning af en blokgruppe eller en simpel blok, som anvender EBML-lacing, blev framestørrelsen indikeret i lacing'en ikke kontrolleret mod det tilgængelige antal bytes. Hvis den indikerede framestørrelse var større end hele blokkens størrelse, læste fortolkeren forbi slutningen af bufferen, medførende en heapinformationslækage.

I Debian 6 Squeeze, er dette problem rettet i libmatroska version 0.8.1-1.1+deb6u1.