Debians sikkerhedsbulletin
DSA-3150-1 vlc -- sikkerhedsopdatering
- Rapporteret den:
- 2. feb 2015
- Berørte pakker:
- vlc
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2014-9626, CVE-2014-9627, CVE-2014-9628, CVE-2014-9629, CVE-2014-9630.
- Yderligere oplysninger:
-
Fabian Yamaguchi opdagede adskillige sårbarheder i VLC, en multimedieafspiller og -streamer:
- CVE-2014-9626
MP4-demuxeren, når den fortolker strengbokse, kontrollerede ikke på korrekt vis boksens længde, førende til et muligt heltalsunderløb, når den længdeværdi blev anvendt i et kald til memcpy(). Det kunne gøre det muligt for fjernangribere, at forårsage et lammelsesangreb (nedbrud) eller udføre vilkårlig kode med fabrikerede MP4-filer.
- CVE-2014-9627
MP4-demuxeren, når den fortolker strengbokse, kontrollerede ikke på korrekt vis konverteringen af bokslængden fra 64 bit-heltal til 32 bit-heltal på 32 bit-platforme ikke medførte en trunkering, førende til et muligt bufferoverløb. Dermed kunne det være muligt for fjernangribere at forårsage et lammelsesangreb (nedbrud) eller udføre vilkårlig kode med fabrikerede MP4-filer.
- CVE-2014-9628
MP4-demuxeren, når den fortolker strengbokse, kontrollerede ikke på korrekt vis boksens længde, førende til et muligt bufferoverløb. Dermed kunne det være muligt for fjernangribere at forårsage et lammelsesangreb (nedbrud) eller udføre vilkårlig kode med fabrikerede MP4-filer.
- CVE-2014-9629
Dirac- og Schroedinger-enkoderne, kontrollerede ikke på korrekt vis om et heltalsoverløb var påstået på 32 bit-platforme, førende til et muligt bufferoverløb. Dermed kunne fjernangribere forårsage et lammelsesangreb (nedbrud) eller udføre vilkårlig kode.
I den stabile distribution (wheezy), er disse problemer rettet i version 2.0.3-5+deb7u2.
I den kommende stabile distribution (jessie), er disse problemer rettet i version 2.2.0~rc2-2.
I den ustabile distribution (sid), er disse problemer rettet i version 2.2.0~rc2-2.
Vi anbefaler at du opgraderer dine vlc-pakker.
- CVE-2014-9626