Bulletin d'alerte Debian

DLA-956-1 libsndfile -- Mise à jour de sécurité pour LTS

Date du rapport :
28 mai 2017
Paquets concernés :
libsndfile
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-8361, CVE-2017-8362, CVE-2017-8363, CVE-2017-8365.
Plus de précisions :
  • CVE-2017-8361

    La fonction flac_buffer_copy (flac.c) dans libsndfile 1.0.28 permet à des attaquants distants de provoquer un déni de service (dépassement de tampon et plantage d’application) ou d’avoir un autre impact à l'aide d'un fichier audio contrefait.

  • CVE-2017-8363

    La fonction flac_buffer_copy (flac.c) dans libsndfile 1.0.28 permet à des attaquants distants de provoquer un déni de service (lecture non valable et plantage d’application) à l'aide d'un fichier audio contrefait.

  • CVE-2017-8363

    La fonction flac_buffer_copy dans flac.c dans libsndfile 1.0.28 permet à des attaquants distants de provoquer un déni de service (lecture hors limites de tampon basé sur le tas et plantage d'application) à l'aide d'un fichier audio contrefait.

  • CVE-2017-8365

    La fonction i2les_array dans pcm.c dans libsndfile 1.0.28 permet à des attaquants distants de provoquer un déni de service (lecture excessive de tampon et plantage d'application) à l'aide d'un fichier audio contrefait.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.0.25-9.1+deb7u2.

Nous vous recommandons de mettre à jour vos paquets libsndfile.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.