Bulletin d'alerte Debian

DLA-1899-1 faad2 -- Mise à jour de sécurité pour LTS

Date du rapport :
28 août 2019
Paquets concernés :
faad2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 914641.
Dans le dictionnaire CVE du Mitre : CVE-2018-19502, CVE-2018-20196, CVE-2018-20199, CVE-2018-20360, CVE-2019-6956, CVE-2019-15296.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans l’encodeur et décodeur faad2 (Freeware Advanced Audio Coder).

  • CVE-2018-19502

    Dépassement de tampon basé sur le tas dans la fonction excluded_channels (libfaad/syntax.c). Cette vulnérabilité peut permettre à des attaquants distants de provoquer un déni de service à l’aide de données AAC MPEG contrefaites.

  • CVE-2018-20196

    Dépassement de tampon basé sur le tas dans la fonction calculate_gain (libfaad/br_hfadj.c). Cette vulnérabilité peut permettre à des attaquants distants de provoquer un déni de service ou tout autre impact non précisé à l’aide de données AAC MPEG contrefaites.

  • CVE-2018-20199, CVE-2018-20360

    Déréférencement de pointeur NULL dans la fonction ifilter_bank (libfaad/filtbank.c). Cette vulnérabilité peut permettre à des attaquants distants de provoquer un déni de service à l’aide de données AAC MPEG contrefaites.

  • CVE-2019-6956

    Dépassement global de tampon dans la fonction ps_mix_phase (libfaad/ps_dec.c). Cette vulnérabilité peut permettre à des attaquants distants de provoquer un déni de service ou tout autre impact non précisé à l’aide de données AAC MPEG contrefaites.

  • CVE-2019-15296

    Dépassement de tampon dans la fonction faad_resetbits (libfaad/bits.c). Cette vulnérabilité peut permettre à des attaquants distants de provoquer un déni de service à l’aide de données AAC MPEG contrefaites.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.7-8+deb8u3.

Nous vous recommandons de mettre à jour vos paquets faad2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.