Bulletin d'alerte Debian

DLA-1695-1 sox -- Mise à jour de sécurité pour LTS

Date du rapport :
28 février 2019
Paquets concernés :
sox
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 878808, Bogue 878810, Bogue 882144, Bogue 881121.
Dans le dictionnaire CVE du Mitre : CVE-2017-15370, CVE-2017-15372, CVE-2017-15642, CVE-2017-18189.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans SoX (Sound eXchange), un programme de traitement de sons.

  • CVE-2017-15370

    The fonction ImaAdpcmReadBlock (src/wav.c) est sujette à un dépassement de tampon basé sur le tas. Cette vulnérabilité peut être exploitée par des attaquants distants utilisant un fichier WAV contrefait pour provoquer un déni de service (plantage d'application).

  • CVE-2017-15372

    La fonction lsx_ms_adpcm_block_expand_i (adpcm.c) est sujette à un dépassement de pile. Cette vulnérabilité peut être exploitée par des attaquants distants utilisant un fichier audio contrefait pour provoquer un déni de service (plantage d'application).

  • CVE-2017-15642

    La fonction lsx_aiffstartread (aiff.c) est sujette à une vulnérabilité d’utilisation de mémoire après libération. Ce défaut peut être exploité par des attaquants distants utilisant un fichier AIFF contrefait pour provoquer un déni de service (plantage d'application).

  • CVE-2017-18189

    La fonction startread (xa.c) est sujette à une vulnérabilité de déréférencement de pointeur NULL. Ce défaut peut être exploité par des attaquants distants utilisant un un fichier audio Maxis XA contrefait pour provoquer un déni de service (plantage d'application).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 14.4.1-5+deb8u2.

Nous vous recommandons de mettre à jour vos paquets sox.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.