Рекомендация Debian по безопасности
DLA-317-1 vorbis-tools -- обновление безопасности LTS
- Дата сообщения:
- 29.09.2015
- Затронутые пакеты:
- vorbis-tools
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2014-9638, CVE-2014-9639, CVE-2014-9640, CVE-2015-6749.
- Более подробная информация:
-
В пакете vorbis-tools в Debian LTS (squeeze) были исправлены различные проблемы.
- CVE-2014-9638
Специально сформированный файл WAV с рядом каналов, выставленных в значение 0, приводит к аварийной остановке oggenc из-за проблемы с делением на ноль. Эта проблема была исправлена в основной ветке разработки путём подготовки заплаты для CVE-2014-9639. Авторам основной ветки о проблеме сообщил
zuBux
. - CVE-2014-9639
В oggenc было обнаружено переполнение целых чисел, связанное с числом каналов во входном файле WAV. Проблема возникает при обращении за пределы выделенного буфера памяти, которое приводит к аварийной остановке oggenc (audio.c). Авторам основной ветки о проблеме сообщил
zuBux
.Исправление из основной ветки разработки было адаптировано для vorbis-tools в Debian LTS (squeeze).
- CVE-2014-9640
Исправление аварийной остановки при закрытии необработанных входных данных (dd if=/dev/zero bs=1 count=1 | oggenc -r - -o out.ogg). Авторам основной ветки о проблеме сообщил
hanno
.Исправление из основной ветки разработки было адаптировано для vorbis-tools в Debian LTS (squeeze).
- CVE-2015-6749
Переполнение буфера в функции aiff_open в oggenc/audio.c в vorbis-tools версии 1.4.0 или более ранних позволяет удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) с помощью специально сформированного файла AIFF. Авторам основной ветки о проблеме сообщил
pengsu
.Исправление из основной ветки разработки было адаптировано для vorbis-tools в Debian LTS (squeeze).
- CVE-2014-9638
