Bulletin d'alerte Debian

DLA-420-1 libmatroska -- Mise à jour de sécurité pour LTS

Date du rapport :
18 février 2016
Paquets concernés :
libmatroska
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-9765.
Plus de précisions :

Un problème d’adressage non valable de mémoire existait dans libmatroska, un format extensible de standard ouvert de conteneur audio et vidéo.

Lors de la lecture d’un groupe de blocs ou d’un simple bloc qui utilisent la composition (lacing) EBML, les tailles de trame indiquées n’étaient pas vérifiées par rapport au nombre d’octets disponibles. Si la taille indiquée de la trame était supérieure à la taille de tout le bloc, l’analyseur lisait au-delà de la fin du tampon, conduisant à une fuite d’informations du tas.

Pour Debian 6 Squeeze, ce problème a été corrigé dans la version 0.8.1-1.1+deb6u1 de libmatroska.