Bulletin d'alerte Debian
DLA-393-1 srtp -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 18 janvier 2016
- Paquets concernés :
- srtp
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2015-6360.
- Plus de précisions :
-
Prévention dans srtp d'une attaque potentielle par déni de service à cause de l'absence de vérification de limites du nombre CSRC de l'en-tête RTP et de longueur de l'en-tête d'extension. Le mérite d'avoir rapporté ce problème revient à Randell Jesup et à l'équipe Firefox.
(Comme le mode AEAD n'est disponible dans la version de Squeeze, seul srtp_unprotect() a besoin d'être corrigé)