Bulletin d'alerte Debian

DLA-1432-1 gpac -- Mise à jour de sécurité pour LTS

Date du rapport :
19 juillet 2018
Paquets concernés :
gpac
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 902782.
Dans le dictionnaire CVE du Mitre : CVE-2018-13005, CVE-2018-13006.
Plus de précisions :

Deux conditions de lecture hors limites de tampon basé sur le tas ont été trouvées dans gpac.

  • CVE-2018-13005

    Dû à une erreur dans une condition de boucle while, la fonction urn_Read dans isomedia/box_code_base.c a une lecture hors limites de tampon basé sur le tas.

  • CVE-2018-13006

    Dû à une erreur dans un appel strlen, il existe une lecture hors limites de tampon basé sur le tas dans la fonction hdlr_dump de isomedia/box_dump.c .

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 0.5.0+svn5324~dfsg1-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets gpac.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.