Bulletin d'alerte Debian

DLA-867-1 audiofile -- Mise à jour de sécurité pour LTS

Date du rapport :
23 mars 2017
Paquets concernés :
audiofile
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 857651.
Dans le dictionnaire CVE du Mitre : CVE-2017-6829, CVE-2017-6830, CVE-2017-6831, CVE-2017-6832, CVE-2017-6833, CVE-2017-6834, CVE-2017-6835, CVE-2017-6836, CVE-2017-6837, CVE-2017-6838, CVE-2017-6839.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans audiofile.

  • CVE-2017-6829

    Possibilité pour des attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier contrefait.

  • CVE-2017-6830 / CVE-2017-6834 / CVE-2017-6831 / CVE-2017-6832 / CVE-2017-6838 / CVE-2017-6839 / CVE-2017-6836

    Dépassement de tampon de tas permettant à des attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier contrefait.

  • CVE-2017-6833 / CVE-2017-6835

    La fonction runPull permet à des attaquants distants de provoquer un déni de service (erreur de division par zéro et plantage) à l'aide d'un fichier contrefait.

  • CVE-2017-6837

    Possibilité pour des attaquants distants de provoquer un déni de service (plantage) à l’aide de vecteurs relatifs à un grand nombre de coefficients.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.3.4-2+deb7u1.

Nous vous recommandons de mettre à jour vos paquets audiofile.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.