Bulletin d'alerte Debian

DLA-1368-1 libvorbis -- Mise à jour de sécurité pour LTS

Date du rapport :
30 avril 2018
Paquets concernés :
libvorbis
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-11333, CVE-2017-14632, CVE-2017-14633, CVE-2018-5146.
Plus de précisions :

De graves vulnérabilités ont été trouvés dans la bibliothèque libvorbis, utilisée couramment pour encoder et décoder l’audio dans des conteneurs OGG.

  • CVE-2017-14633

    Dans libvorbis 1.3.5 de Xiph.Org, une vulnérabilité de lecture hors limites de tableau existe dans la fonction mapping0_forward() dans mapping0.c, qui pourrait conduire à un déni de service lors du traitement d’un fichier audio contrefait avec vorbis_analysis().

  • CVE-2017-14632

    libvorbis 1.3.5 de Xiph.Org permet l’exécution de code à distance lors de la libération de mémoire non initialisée dans la fonction vorbis_analysis_headerout() dans info.c quand vi->channels<=0, un problème similaire au bogue n° 550184 de Mozilla.

  • CVE-2017-11333

    La fonction vorbis_analysis_wrote dans lib/block.c dans libvorbis 1.3.5 de Xiph.Org permet à des attaquants distants de provoquer un déni de service (OOM) à l'aide d'un fichier wav contrefait.

  • CVE-2018-5146

    Une écriture hors limites de mémoire dans le code d’analyse de codebook de la bibliothèque multimédia Libvorbis pourrait aboutir à l'exécution de code arbitraire.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.3.2-1.3+deb7u1.

Nous vous recommandons de mettre à jour vos paquets libvorbis.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.