Bulletin d'alerte Debian

DLA-438-1 libebml -- Mise à jour de sécurité pour LTS

Date du rapport :
28 février 2016
Paquets concernés :
libebml
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-8790, CVE-2015-8791.
Plus de précisions :

Deux problèmes de sécurité ont été corrigés dans libebml, une bibliothèque pour accéder au format EBML :

  • CVE-2015-8790

    La fonction EbmlUnicodeString::UpdateFromUTF8 dans les versions de libEBML antérieures à 1.3.3 permet à des attaquants en fonction du contexte d'obtenir des informations sensibles de la mémoire de tas du processus en utilisant une chaîne UTF-8 contrefaite de façon malveillante qui déclenche un accès mémoire non valable.

  • CVE-2015-8791

    La fonction EbmlElement::ReadCodedSizeValue dans les versions de libEBML antérieures à 1.3.3 permet à des attaquants en fonction du contexte d'obtenir des informations sensibles de la mémoire de tas du processus à l'aide d'une valeur de longueur contrefaite de façon malveillante dans un identifiant EBML qui déclenche un accès mémoire non valable.

Pour Debian 6 Squeeze, ces problèmes ont été corrigées dans libebml version 0.7.7-3.1+deb6u1. Nous vous recommandons de mettre à jour vos paquets libebml.