Bulletin d'alerte Debian

DLA-799-1 ming -- Mise à jour de sécurité pour LTS

Date du rapport :
26 janvier 2017
Paquets concernés :
ming
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 843928.
Dans le dictionnaire CVE du Mitre : CVE-2016-9264, CVE-2016-9265, CVE-2016-9266, CVE-2016-9827, CVE-2016-9828, CVE-2016-9829, CVE-2016-9831.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans Ming. Ils pourraient conduire à l'exécution de code arbitraire ou au plantage de l'application.

  • CVE-2016-9264

    dépassement de tampon global dans printMP3Headers

  • CVE-2016-9265

    division par zéro dans printMP3Headers

  • CVE-2016-9266

    décalage à gauche dans listmp3.c

  • CVE-2016-9827

    listswf : dépassement de tampon basé sur le tas dans _iprintf

  • CVE-2016-9828

    listswf : dépassement de tampon basé sur le tas dans _iprintf

  • CVE-2016-9829

    listswf : déréférencement de pointeur NULL dans dumpBuffer

  • CVE-2016-9831

    listswf : dépassement de tampon basé sur le tas dans parseSWF_RGBA

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.4.4-1.1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets ming.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.