LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1705-1 sox

Bulletin d'alerte Debian

DLA-1705-1 sox -- Mise à jour de sécurité pour LTS

Date du rapport :

5 mars 2019

Paquets concernés :

sox

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 878809, Bogue 870328.
Dans le dictionnaire CVE du Mitre : CVE-2017-11332, CVE-2017-11358, CVE-2017-11359, CVE-2017-15371.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans SoX (Sound eXchange), un programme de traitement de sons.

• CVE-2017-11332

  La fonction startread (wav.c) est sujette à une vulnérabilité de division par zéro lors du traitement d’un fichier WAV avec un compte de zéro canal. Ce défaut peut être exploité par des attaquants distants utilisant un fichier WAV contrefait pour réaliser un déni de service (plantage d'application).

• CVE-2017-11358

  La fonction read_samples (hcom.c) est sujette à une vulnérabilité de lecture de mémoire non valable lors du traitement de fichiers HCOM avec des dictionnaires non valables. Ce défaut peut être exploité par des attaquants distants utilisant un fichier HCOM contrefait pour réaliser un déni de service (plantage d'application).

• CVE-2017-11359

  La fonction wavwritehdr (wav.c) est sujette à une vulnérabilité de division par zéro lors du traitement de fichiers WAV avec un compte de canaux non valable au-dessus de 16 bits. Ce défaut peut être exploité par des attaquants distants utilisant un fichier WAV contrefait pour réaliser un déni de service (plantage d'application).

• CVE-2017-15371

  La fonction sox_append_comment() (formats.c) est vulnérable à une assertion accessible lors du traitement de fichiers FLAC avec des métadonnées déclarant plus de commentaires que présents. Ce défaut peut être exploité par des attaquants distants utilisant des données FLAC contrefaites pour réaliser un déni de service (plantage d'application).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 14.4.1-5+deb8u3.

Nous vous recommandons de mettre à jour vos paquets sox.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.