Информация по безопасности / 2015 / Информация о безопасности -- DSA-3150-1 vlc

Рекомендация Debian по безопасности

DSA-3150-1 vlc -- обновление безопасности

Дата сообщения:

02.02.2015

Затронутые пакеты:

vlc

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-9626, CVE-2014-9627, CVE-2014-9628, CVE-2014-9629, CVE-2014-9630.

Более подробная информация:

Фабиан Ямагучи обнаружил многочисленные уязвимости в VLC, ПО для проигрывания и вещания мультимедиа:

• CVE-2014-9626

  Демультиплексер MP4 при грамматическом разборе строковых контейнеров неправильно проверяет длину контейнера, что приводит к возможному переполнению целых чисел при использовании значения длины контейнера в вызове функции memcpy(). Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или выполнить произвольный код с помощью специально сформированных файлов MP4.

• CVE-2014-9627

  Демультиплексор MP4 при грамматическом разборе строковых контейнеров неправильно проверяет, приводит ли к обрезанию перевод значения длины контейнера из 64-битного целого числа в 32-битное целое число на 32-битных платформах, что приводит к возможному переполнению буфера. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или выполнить произвольный код с помощью специально сформированных файлов MP4.

• CVE-2014-9628

  Демультиплексор MP4 при грамматическом разборе строковых контейнеров неправильно проверяет длину контейнера, что приводит к возможному переполнению буфера. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или выполнить произвольный код с помощью специально сформированных файлов MP4.

• CVE-2014-9629

  Кодировщики Dirac и Schroedinger неправильно проверяют переполнение целых чисел на 32-битных платформах, что приводит к возможному переполнению буфера. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или выполнить произвольный код.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2.0.3-5+deb7u2.

В готовящемся стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.2.0~rc2-2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.2.0~rc2-2.

Рекомендуется обновить пакеты vlc.