Bulletin d'alerte Debian

DLA-464-1 libav -- Mise à jour de sécurité pour LTS

Date du rapport :
10 mai 2016
Paquets concernés :
libav
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-9676.
Plus de précisions :

Il y avait une vulnérabilité d'utilisation de mémoire après libération dans libav, une bibliothèque de lecteur, serveur, encodeur et transcodeur multimédia.

La fonction seg_write_packet dans libavformat/segment.c dans ffmpeg versions 2.1.4 et antérieures ne libère pas l'emplacement de mémoire correct. Cela permet à des attaquants distants de provoquer un déni de service (« invalid memory handler ») et éventuellement d'exécuter du code arbitraire à l'aide d'une vidéo contrefaite qui déclenche une utilisation de mémoire après libération.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 6:0.8.17-2+deb7u1 de libav.

Nous vous recommandons de mettre à jour vos paquets libav.