LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-644-1 libav

Bulletin d'alerte Debian

DLA-644-1 libav -- Mise à jour de sécurité pour LTS

Date du rapport :

4 octobre 2016

Paquets concernés :

libav

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-1872, CVE-2015-5479, CVE-2016-7393.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans libav :

• CVE-2015-1872

  La fonction ff_mjpeg_decode_sof dans libavcodec/mjpegdec.c dans Libav antérieur à 0.8.18 ne vérifiait pas le nombre de composants dans le segment démarrage de trame JPEG-LS. Cela permet à des attaquants distants de provoquer un déni de service (accès tableau hors limites) ou éventuellement d’avoir un impact non précisé à l’aide de données Motion JPEG contrefaites.

• CVE-2015-5479

  La fonction ff_h263_decode_mba dans libavcodec/ituh263dec.c dans Libav antérieur à 11.5 permet à des attaquants distants de provoquer un déni de service (erreur de division par zéro et plantage de l'application) à l'aide d'un fichier avec des dimensions contrefaites.

• CVE-2016-7393

  La fonction aac_sync dans libavcodec/aac_parser.c dans Libav antérieur à 11.5 est vulnérable à un dépassement de pile.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 6:0.8.18-0+deb7u1.

Nous vous recommandons de mettre à jour vos paquets libav.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.