Bulletin d'alerte Debian

DLA-2603-1 libmediainfo -- Mise à jour de sécurité pour LTS

Date du rapport :
23 mars 2021
Paquets concernés :
libmediainfo
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-11372, CVE-2019-11373, CVE-2020-15395, CVE-2020-26797.
Plus de précisions :

Il a été découvert qu’il existait un certain nombre de vulnérabilités dans libmediainfo, une bibliothèque de lecture des métadonnées, telles que les noms de piste, les tailles, etc., de fichiers de média.

  • CVE-2019-11372

    Une lecture hors limites dans MediaInfoLib::File__Tags_Helper::Synched_Test dans Tag/File__Tags.cpp dans MediaInfoLib dans MediaArea MediaInfo 18.12 conduit à un plantage.

  • CVE-2019-11373

    Une lecture hors limites dans File__Analyze::Get_L8 dans File__Analyze_Buffer.cpp dans MediaInfoLib dans MediaArea MediaInfo 18.12 conduit à un plantage.

  • CVE-2020-15395

    Dans MediaInfoLib dans MediaArea MediaInfo 20.03, il existe une lecture hors limites de tampon de pile dans Streams_Fill_PerStream dans Multiple/File_MpegPs.cpp (c'est-à-dire un décalage d'entier lors de l’analyse de MpegPs).

  • CVE-2020-26797

    Mediainfo avant la version 20.08 avait une vulnérabilité de dépassement de tampon de tas à travers MediaInfoLib::File_Gxf::ChooseParser_ChannelGrouping.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 0.7.91-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets libmediainfo.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.