Bulletin d'alerte Debian

DSA-3539-1 srtp -- Mise à jour de sécurité

Date du rapport :
2 avril 2016
Paquets concernés :
srtp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 807698.
Dans le dictionnaire CVE du Mitre : CVE-2015-6360.
Plus de précisions :

Randell Jesup et l'équipe Firefox ont découvert que srtp, l'implémentation de référence de Cisco du protocole « Secure Real-time Transport Protocol » (SRTP), ne gérait pas correctement le nombre CSRC de l'en-tête RTP et la longueur de l'en-tête d'extension. Un attaquant distant peut exploiter cette vulnérabilité pour planter une application liée à libsrtp, avec pour conséquence un déni de service.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1.4.4+20100615~dfsg-2+deb7u2.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1.4.5~20130609~dfsg-1.1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets srtp.