LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2023 / Informations sur la sécurité -- DLA-3280-1 libde265

Bulletin d'alerte Debian

DLA-3280-1 libde265 -- Mise à jour de sécurité pour LTS

Date du rapport :

24 janvier 2023

Paquets concernés :

libde265

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1025816, Bogue 1027179, Bogue 1029357, Bogue 1029397.
Dans le dictionnaire CVE du Mitre : CVE-2020-21596, CVE-2020-21597, CVE-2020-21598, CVE-2022-43235, CVE-2022-43236, CVE-2022-43237, CVE-2022-43238, CVE-2022-43239, CVE-2022-43240, CVE-2022-43241, CVE-2022-43242, CVE-2022-43243, CVE-2022-43244, CVE-2022-43245, CVE-2022-43248, CVE-2022-43249, CVE-2022-43250, CVE-2022-43252, CVE-2022-43253, CVE-2022-47655.

Plus de précisions :

Plusieurs problèmes ont été trouvés dans libde265, une implémentation au code source ouvert du codec vidéo H.265, qui pouvaient aboutir à un déni de service ou à un autre impact non précisé.

• CVE-2020-21596

  libde265 version 1.0.4 contenait un dépassement de tampon global dans la fonction decode_CABAC_bit, qui pouvait être exploité à l'aide d'un fichier contrefait.

• CVE-2020-21597

  libde265 version 1.0.4 contenait un dépassement de tampon de tas dans la fonction mc_chroma, qui pouvait être exploité à l'aide d'un fichier contrefait.

• CVE-2020-21598

  libde265 version 1.0.4 contenait un dépassement de tampon de tas dans la fonction ff_hevc_put_unweighted_pred_8_sse, qui pouvait être exploité à l'aide d'un fichier contrefait.

• CVE-2022-43235

  Il a été découvert que libde265 version 1.0.8 contenait une vulnérabilité de dépassement de tampon de tas à l’aide de ff_hevc_put_hevc_epel_pixels_8_sse dans sse-motion.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-43236

  Il a été découvert que libde265 version 1.0.8 contenait une vulnérabilité de dépassement de tampon de pile à l’aide de put_qpel_fallback<unsigned short> dans fallback-motion.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-43237

  Il a été découvert que libde265 version 1.0.8 contenait une vulnérabilité de dépassement de tampon de pile à l’aide de void put_epel_hv_fallback<unsigned short> dans fallback-motion.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-43238

  Il a été découvert que libde265 version 1.0.8 contenait un plantage inconnu à l’aide de ff_hevc_put_hevc_qpel_h_3_v_3_sse dans sse-motion.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-43239

  Il a été découvert que libde265 version 1.0.8 contenait une vulnérabilité de dépassement de tampon de tas à l’aide de mc_chrom<unsigned short> dans motion.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-43240

  Il a été découvert que libde265 version 1.0.8 contenait une vulnérabilité de dépassement de tampon de tas à l’aide de ff_hevc_put_hevc_qpel_h_2_v_1_sse dans sse-motion.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-43241

  Il a été découvert que libde265 version 1.0.8 contenait un plantage inconnu à l’aide de ff_hevc_put_hevc_qpel_v_3_8_sse dans sse-motion.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-43242

  Il a été découvert que libde265 version 1.0.8 contenait une vulnérabilité de dépassement de tampon de tas à l’aide de mc_lum<unsigned char> dans motion.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-43243

  Il a été découvert que libde265 version 1.0.8 contenait une vulnérabilité de dépassement de tampon de tas à l’aide de ff_hevc_put_weighted_pred_avg_8_sse dans sse-motion.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-43244

  Il a été découvert que libde265 version 1.0.8 contenait une vulnérabilité de dépassement de tampon de tas à l’aide de put_qpel_fallback<unsigned short> dans fallback-motion.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-43245

  Il a été découvert que libde265 version 1.0.8 contenait une erreur de segmentation à l'aide de apply_sao_internal<unsigned short> dans sao.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-43248

  Il a été découvert que libde265 version 1.0.8 contenait une vulnérabilité de dépassement de tampon de tas à l’aide de put_weighted_pred_avg_16_fallback dans fallback-motion.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-43249

  Il a été découvert que libde265 version 1.0.8 contenait une vulnérabilité de dépassement de tampon de tas à l’aide de put_epel_hv_fallback<unsigned short> dans fallback-motion.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-43250

  Il a été découvert que libde265 version 1.0.8 contenait une vulnérabilité de dépassement de tampon de tas à l’aide de put_qpel_0_0_fallback_16 dans fallback-motion.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-43252

  Il a été découvert que libde265 version 1.0.8 contenait une vulnérabilité de dépassement de tampon de tas à l’aide de put_epel_16_fallback dans fallback-motion.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-43253

  Il a été découvert que libde265 version 1.0.8 contenait une vulnérabilité de dépassement de tampon de tas à l’aide de put_unweighted_pred_16_fallback dans fallback-motion.cc. Cette vulnérabilité permettait à des attaquants de provoquer un déni de service (DoS) à l'aide d'un fichier vidéo contrefait.

• CVE-2022-47655

  libde265 version 1.0.9 est vulnérable à un dépassement de tampon dans la fonction void put_qpel_fallback<unsigned short>.

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 1.0.3-1+deb10u2.

Nous vous recommandons de mettre à jour vos paquets libde265.

Pour disposer d'un état détaillé sur la sécurité de libde265, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libde265.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.