LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2015 / Informations sur la sécurité -- DLA-356-1 libsndfile

Bulletin d'alerte Debian

DLA-356-1 libsndfile -- Mise à jour de sécurité pour LTS

Date du rapport :

30 novembre 2015

Paquets concernés :

libsndfile

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 774162, Bogue 804445, Bogue 804447.
Dans le dictionnaire CVE du Mitre : CVE-2014-9496, CVE-2014-9756, CVE-2015-7805.

Plus de précisions :

• CVE-2014-9496

  La fonction sd2_parse_rsrc_fork dans sd2.c de libsndfile permet à des attaquants d'avoir un impact indéterminé grâce à des moyens liés à (1) un emplacement de mappage ou (2) un marqueur rsrc, ce qui déclenche une lecture hors limites.

• CVE-2014-9756

  La fonction psf_fwrite dans file_io.c de libsndfile permet à des attaquants de provoquer un déni de service (erreur de division par zéro et plantage de l'application) grâce à des moyens indéterminés liés à la variable headindex.

• CVE-2015-7805

  Un dépassement de tampon de tas dans libsndfile 1.0.25 permet à des attaquants distants d'avoir un impact indéterminé grâce à la valeur headindex dans l'en-tête d'un fichier AIFF.