LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-2039-1 libvorbis

Bulletin d'alerte Debian

DLA-2039-1 libvorbis -- Mise à jour de sécurité pour LTS

Date du rapport :

17 décembre 2019

Paquets concernés :

libvorbis

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2017-11333, CVE-2017-14633.

Plus de précisions :

Deux problèmes ont été découverts dans libvorbis, a bibliothèque de décodage pour le codec générique de compression audio Vorbis.

2017-14633

Dans libvorbis 1.3.5 de Xiph.Org, une vulnérabilité de lecture de tableau hors limites existe dans la fonction mapping0_forward() dans mapping0.c, qui pourrait conduire à un déni de service lors d’une opération avec vorbis_analysis() sur un fichier audio contrefait .

2017-11333

La fonction vorbis_analysis_wrote dans lib/block.c dans libvorbis 1.3.5 de Xiph.Org permet à des attaquants distants de provoquer un déni de service (OOM) à l'aide d'un fichier wav contrefait.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.3.4-2+deb8u3.

Nous vous recommandons de mettre à jour vos paquets libvorbis.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.