Risques
- Déni de service
- Exécution de code arbitraire
Systèmes affectés
SoX versions 12.17.2, 12.17.3 et 12.17.4.
Résumé
Deux vulnérabilités dans SoX permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire.
Description
SoX (Sound eXchange) est un utilitaire UNIX permettant de jouer,
enregistrer et traduire des échantillons sonores dans différents
formats.
Deux débordements de mémoire dans SoX permettent à un utilisateur mal
intentionné, via la construction d'un fichier musical d'extension .wav,
de réaliser un déni de service ou d'exécuter du code arbitraire sur la
plate-forme vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Mandrake MDKSA-2004:076 http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:076
- Bulletin de sécurité Debian DSA-565 du 13 octobre 2004 : http://www.debian.org/security/2004/dsa-565
- Bulletin de sécurité Fedora FLSA:1945 du 20 février 2005 : https://bugzilla.fedora.us/show_bug.cgi?id=1945
- Bulletin de sécurité FreeBSD pour sox du 26 août 2004 : http://www.vuxml.org/freebsd
- Bulletin de sécurité Gentoo GLSA 200407-23 du 30 juillet 2004 : http://www.gentoo.org/security/en/glsa/glsa-200407-23.xml
- Bulletin de sécurité OpenBSD pour sox du 31 juillet 2004 : http://www.vuxml.org/openbsd
- Bulletin de sécurité RedHat RHSA-2004:409 du 29 juillet 2004 : http://rhn.redhat.com/errata/RHSA-2004-409.html
- Site Internet de SoX : http://sox.sourceforge.net
