Bulletin d'alerte Debian

DLA-655-1 mpg123 -- Mise à jour de sécurité pour LTS

Date du rapport :
15 octobre 2016
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-9497, CVE-2016-1000247.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans mpg123, un décodeur et lecteur MPEG normes 1/2/3. Un attaquant pourrait tirer avantage de ces défauts pour provoquer un déni de service à l'encontre de mpg123 ou des applications utilisant la bibliothèque libmpg123 avec un fichier d'entrée soigneusement contrefait.

  • CVE-2014-9497

    Myautsai PAN a découvert un défaut dans le code d'initialisation du décodeur de libmpg123. Un fichier d'entrée mp3 contrefait pour l'occasion peut être utilisé pour provoquer un dépassement de tampon. Cela pourrait avoir pour conséquence un déni de service.

  • CVE-2016-1000247

    Jerold Hoong a découvert un défaut dans le code de traitement des étiquettes id3 de libmpg123. Un fichier d'entrée mp3 contrefait pour l'occasion pourrait être utilisé pour provoquer une lecture hors limite du tampon. Cela pourrait avoir pour conséquence un déni de service.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.14.4-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets mpg123.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.