Debians sikkerhedsbulletin

DLA-438-1 libebml -- LTS-sikkerhedsopdatering

Rapporteret den:
28. feb 2016
Berørte pakker:
libebml
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-8790, CVE-2015-8791.
Yderligere oplysninger:

To sikkerhedsrelaterede problemer er rettet i libebml, et bibliotek beregnet til at tilgå EBML-formatet:

  • CVE-2015-8790

    Funktionen EbmlUnicodeString::UpdateFromUTF8 i libEBML før 1.3.3, tillod at kontekstafhængige angribere kunne få adgang til følsomme oplysninger fra procesheaphukommelse gennem en fabrikeret UTF-8-streng, hvilket udløser en ugyldig hukommelsestilgang.

  • CVE-2015-8791

    Funktionen EbmlElement::ReadCodedSizeValue i libEBML før 1.3.3, tillod at kontekstafhængige angribere kunne få adgang til følsomme oplysninger fra procesheaphukommelse gennem en fabrikeret længdeværdi i en EBML-id, hvilket udløse en ugyldig hukommelsestilgang.

I Debian 6 squeeze, er disse problemer rettet i libebml version 0.7.7-3.1+deb6u1. Vi anbefaler at du opgraderer dine libebml-pakker.