Bulletin d'alerte Debian

DLA-644-1 libav -- Mise à jour de sécurité pour LTS

Date du rapport :
4 octobre 2016
Paquets concernés :
libav
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-1872, CVE-2015-5479, CVE-2016-7393.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans libav :

  • CVE-2015-1872

    La fonction ff_mjpeg_decode_sof dans libavcodec/mjpegdec.c dans Libav antérieur à 0.8.18 ne vérifiait pas le nombre de composants dans le segment démarrage de trame JPEG-LS. Cela permet à des attaquants distants de provoquer un déni de service (accès tableau hors limites) ou éventuellement d’avoir un impact non précisé à l’aide de données Motion JPEG contrefaites.

  • CVE-2015-5479

    La fonction ff_h263_decode_mba dans libavcodec/ituh263dec.c dans Libav antérieur à 11.5 permet à des attaquants distants de provoquer un déni de service (erreur de division par zéro et plantage de l'application) à l'aide d'un fichier avec des dimensions contrefaites.

  • CVE-2016-7393

    La fonction aac_sync dans libavcodec/aac_parser.c dans Libav antérieur à 11.5 est vulnérable à un dépassement de pile.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 6:0.8.18-0+deb7u1.

Nous vous recommandons de mettre à jour vos paquets libav.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.