LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-393-1 srtp

Bulletin d'alerte Debian

DLA-393-1 srtp -- Mise à jour de sécurité pour LTS

Date du rapport :

18 janvier 2016

Paquets concernés :

srtp

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-6360.

Plus de précisions :

Prévention dans srtp d'une attaque potentielle par déni de service à cause de l'absence de vérification de limites du nombre CSRC de l'en-tête RTP et de longueur de l'en-tête d'extension. Le mérite d'avoir rapporté ce problème revient à Randell Jesup et à l'équipe Firefox.

(Comme le mode AEAD n'est disponible dans la version de Squeeze, seul srtp_unprotect() a besoin d'être corrigé)