Bulletin d'alerte Debian
DLA-644-1 libav -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 4 octobre 2016
- Paquets concernés :
- libav
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2015-1872, CVE-2015-5479, CVE-2016-7393.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans libav :
- CVE-2015-1872
La fonction ff_mjpeg_decode_sof dans libavcodec/mjpegdec.c dans Libav antérieur à 0.8.18 ne vérifiait pas le nombre de composants dans le segment démarrage de trame JPEG-LS. Cela permet à des attaquants distants de provoquer un déni de service (accès tableau hors limites) ou éventuellement d’avoir un impact non précisé à l’aide de données Motion JPEG contrefaites.
- CVE-2015-5479
La fonction ff_h263_decode_mba dans libavcodec/ituh263dec.c dans Libav antérieur à 11.5 permet à des attaquants distants de provoquer un déni de service (erreur de division par zéro et plantage de l'application) à l'aide d'un fichier avec des dimensions contrefaites.
- CVE-2016-7393
La fonction aac_sync dans libavcodec/aac_parser.c dans Libav antérieur à 11.5 est vulnérable à un dépassement de pile.
Pour Debian 7
Wheezy
, ces problèmes ont été corrigés dans la version 6:0.8.18-0+deb7u1.Nous vous recommandons de mettre à jour vos paquets libav.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2015-1872