Рекомендация Debian по безопасности
DSA-3150-1 vlc -- обновление безопасности
- Дата сообщения:
- 02.02.2015
- Затронутые пакеты:
- vlc
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2014-9626, CVE-2014-9627, CVE-2014-9628, CVE-2014-9629, CVE-2014-9630.
- Более подробная информация:
-
Фабиан Ямагучи обнаружил многочисленные уязвимости в VLC, ПО для проигрывания и вещания мультимедиа:
- CVE-2014-9626
Демультиплексер MP4 при грамматическом разборе строковых контейнеров неправильно проверяет длину контейнера, что приводит к возможному переполнению целых чисел при использовании значения длины контейнера в вызове функции memcpy(). Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или выполнить произвольный код с помощью специально сформированных файлов MP4.
- CVE-2014-9627
Демультиплексор MP4 при грамматическом разборе строковых контейнеров неправильно проверяет, приводит ли к обрезанию перевод значения длины контейнера из 64-битного целого числа в 32-битное целое число на 32-битных платформах, что приводит к возможному переполнению буфера. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или выполнить произвольный код с помощью специально сформированных файлов MP4.
- CVE-2014-9628
Демультиплексор MP4 при грамматическом разборе строковых контейнеров неправильно проверяет длину контейнера, что приводит к возможному переполнению буфера. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или выполнить произвольный код с помощью специально сформированных файлов MP4.
- CVE-2014-9629
Кодировщики Dirac и Schroedinger неправильно проверяют переполнение целых чисел на 32-битных платформах, что приводит к возможному переполнению буфера. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании (аварийная остановка) или выполнить произвольный код.
В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2.0.3-5+deb7u2.
В готовящемся стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.2.0~rc2-2.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.2.0~rc2-2.
Рекомендуется обновить пакеты vlc.
- CVE-2014-9626