Bulletin d'alerte Debian
DSA-1729-1 gst-plugins-bad0.10 -- Plusieurs vulnérabilités
- Date du rapport :
- 2 mars 2009
- Paquets concernés :
- gst-plugins-bad0.10
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2009-0386, CVE-2009-0387, CVE-2009-0397.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans gst-plugins-bad0.10, une collection de divers greffons GStreamer. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-0386
Tobias Klein a découvert un dépassement de tampon dans le démultiplexeur de flux QuickTime (qtdemux), ce qui pourrait éventuellement permettre l'exécution de code arbitraire à l'aide de fichiers .mov contrefaits.
- CVE-2009-0387
Tobias Klein a découvert une erreur d'indice de tableau dans le démultiplexeur de flux QuickTime (qtdemux), ce qui pourrait éventuellement permettre l'exécution de code arbitraire à l'aide de fichiers .mov contrefaits.
- CVE-2009-0397
Tobias Klein a découvert un dépassement de tampon dans le démultiplexeur de flux QuickTime (qtdemux), similaire au problème signalé en CVE-2009-0386, ce qui pourrait aussi permettre l'exécution de code arbitraire à l'aide de fichiers .mov contrefaits.
Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 0.10.3-3.1+etch1.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 0.10.8-4.1~lenny1 de gst-plugins-good0.10, puisque le greffon y a été bougé. Le correctif faisait déjà partie de la publication de Lenny.
Pour la distribution unstable (Sid) et la distribution testing (Squeeze), ces problèmes ont été corrigés dans la version 0.10.8-4.1 de gst-plugins-good0.10.
- CVE-2009-0386
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/g/gst-plugins-bad0.10/gst-plugins-bad0.10_0.10.3-3.1+etch1.dsc
- http://security.debian.org/pool/updates/main/g/gst-plugins-bad0.10/gst-plugins-bad0.10_0.10.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gst-plugins-bad0.10/gst-plugins-bad0.10_0.10.3-3.1+etch1.diff.gz
- http://security.debian.org/pool/updates/main/g/gst-plugins-bad0.10/gst-plugins-bad0.10_0.10.3.orig.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/g/gst-plugins-bad0.10/gstreamer0.10-plugins-bad_0.10.3-3.1+etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/g/gst-plugins-bad0.10/gstreamer0.10-plugins-bad_0.10.3-3.1+etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/gst-plugins-bad0.10/gstreamer0.10-plugins-bad_0.10.3-3.1+etch1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/gst-plugins-bad0.10/gstreamer0.10-plugins-bad_0.10.3-3.1+etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/gst-plugins-bad0.10/gstreamer0.10-plugins-bad_0.10.3-3.1+etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/g/gst-plugins-bad0.10/gstreamer0.10-plugins-bad_0.10.3-3.1+etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/g/gst-plugins-bad0.10/gstreamer0.10-plugins-bad_0.10.3-3.1+etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/gst-plugins-bad0.10/gstreamer0.10-plugins-bad_0.10.3-3.1+etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/gst-plugins-bad0.10/gstreamer0.10-plugins-bad_0.10.3-3.1+etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/gst-plugins-bad0.10/gstreamer0.10-plugins-bad_0.10.3-3.1+etch1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.