Bulletin d'alerte Debian

DLA-1611-2 libav -- Mise à jour de sécurité pour LTS

Date du rapport :
21 décembre 2018
Paquets concernés :
libav
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-6822, CVE-2015-6823, CVE-2015-6824.
Plus de précisions :

Deux problèmes de plus de sécurité ont été corrigés dans la bibliothèque multimédia libav. Il s’agit d’une suite de la publication de DLA-1611-1.

  • CVE-2015-6823

    La fonction allocate_buffers dans libavcodec/alac.c n’initialisait pas certaines données de contexte, permettant à des attaquants distants de provoquer un déni de service (non respect de la segmentation) ou éventuellement d’avoir un impact non précisé à l’aide de données ALAC contrefaites (Apple Lossless Audio Codec). Ce problème a été corrigé en nettoyant les pointeurs dans allocate_buffers() de avcodec/alac.c.

    Contrairement à ce qui est mentionné dans debian/changelog de la publication 6:11.12-1~deb8u2, ce problème est seulement corrigé maintenant avec la publication 6:11.12-1~deb8u3.

  • CVE-2015-6824

    La fonction sws_init_context dans libswscale/utils.c n’initialisait pas certaines structures de données pixbuf, permettant à des attaquants distants de provoquer un déni de service (non respect de la segmentation) ou éventuellement d’avoir un impact non précisé à l’aide de données vidéo contrefaites. Ces tampons pix sont désormais nettoyés dans swscale/utils.c, ce qui corrige l’utilisation de mémoire non initialisée.

    Contrairement à ce qui est mentionné dans debian/changelog de la publication 6:11.12-1~deb8u2, ce problème est seulement corrigé maintenant avec la publication 6:11.12-1~deb8u3.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 6:11.12-1~deb8u3.

Nous vous recommandons de mettre à jour vos paquets libav.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.