Bulletin d'alerte Debian

DLA-1142-1 libav -- Mise à jour de sécurité pour LTS

Date du rapport :
21 octobre 2017
Paquets concernés :
libav
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-8365, CVE-2017-7208, CVE-2017-7862, CVE-2017-9992.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans libav.

  • CVE-2015-8365

    La fonction smka_decode_frame dans libavcodec/smacker.c ne vérifiait pas que la taille des données était cohérente avec le nombre de canaux. Cela permet à des attaquants distants de provoquer un déni de service (accès tableau hors limites) ou éventuellement d’avoir un impact non précisé à l’aide de données Smacker contrefaites.

  • CVE-2017-7208

    La fonction decode_residual dans libavcodec permet à des attaquants distants de provoquer un déni de service (lecture excessive de tampon) ou d’obtenir des informations sensibles de la mémoire du processus à l'aide d'un fichier vidéo h264 contrefait.

  • CVE-2017-7862

    La fonction decode_frame dans libavcodec/pictordec.c est vulnérable à une écriture hors limites provoquée par un dépassement de tampon basé sur le tas.

  • CVE-2017-9992

    La fonction decode_dds1 dans libavcodec/dfa.c permet à des attaquants distants de provoquer un déni de service (dépassement de tampon basé sur le tas et plantage d'application) ou éventuellement d’avoir un impact non précisé à l'aide d'un fichier contrefait.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 6:0.8.21-0+deb7u1.

Nous vous recommandons de mettre à jour vos paquets libav.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.