LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1809-1 libav

Bulletin d'alerte Debian

DLA-1809-1 libav -- Mise à jour de sécurité pour LTS

Date du rapport :

29 mai 2019

Paquets concernés :

libav

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-15822, CVE-2019-11338.

Plus de précisions :

Deux autres problèmes de sécurité ont été corrigés dans plusieurs démultiplexeurs et décodeurs de libav, une bibliothèque multimédia.

• CVE-2018-15822

  La fonction flv_write_paquet dans libavformat/flvenc.c dans libav ne vérifiait pas si le paquet audio était vide, conduisant à un échec d’assertion.

• CVE-2019-11338

  libavcodec/hevcdec.c dans libav gérait incorrectement la détection de premières découpes (slices) dupliquées. Cela permettait à des attaquants de provoquer un déni de service (déréférencement de pointeur NULL et accès hors tableau) ou éventuellement d’avoir un impact non précisé à l’aide de données HEVC contrefaites.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 6:11.12-1~deb8u7.

Nous vous recommandons de mettre à jour vos paquets libav.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.