Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3538-1 libebml

Bulletin d'alerte Debian

DSA-3538-1 libebml -- Mise à jour de sécurité

Date du rapport :

31 mars 2016

Paquets concernés :

libebml

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-8789, CVE-2015-8790, CVE-2015-8791.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans libebml, une bibliothèque de manipulation de fichiers EBLM (« Extensible Binary Meta Language »).

• CVE-2015-8789

  Des attaquants en fonction du contexte pourraient déclencher une vulnérabilité d'utilisation de mémoire après libération en fournissant un document EBML contrefait de façon malveillante.

• CVE-2015-8790

  Des attaquants en fonction du contexte pourraient obtenir des informations sensibles de la mémoire de tas du processus en utilisant une chaîne UTF-8 contrefaite de façon malveillante.

• CVE-2015-8791

  Des attaquants en fonction du contexte pourraient obtenir des informations sensibles de la mémoire de tas du processus en utilisant une valeur de longueur contrefaite de façon malveillante dans un identifiant EBML.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.2.2-2+deb7u1.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.3.0-2+deb8u1.

Pour la distribution testing (Stretch) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.3.3-1.

Nous vous recommandons de mettre à jour vos paquets libebml.