Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 26 novembre 2009

N° CERTA-2009-AVI-517

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans la bibliothèque libvorbis

Gestion du document

Référence	CERTA-2009-AVI-517
Titre	Vulnérabilités dans la bibliothèque libvorbis
Date de la première version	26 novembre 2009
Date de la dernière version	26 novembre 2009
Source(s)	Bulletin de sécurité Debian DSA-1939 du 24 novembre 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Déni de service à distance
Exécution de code arbitraire à distance

Systèmes affectés

libvorbis 1.x.

Résumé

Plusieurs vulnérabilités découvertes dans la bibliothèque libvorbis permettent à un utilisateur disant malintentionné de provoquer un déni de service de l'application ou d'exécuter du code arbitraire au moyen d'un fichier au format ogg spécialement construit.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Debian DSA 1939 du 24 novembre 2009 :

http://www.debian.org/security/2009/dsa-1939

Bulletin de sécurité RedHat RHSA-2009:1561 du 09 novembre 2009 :

http://rhn.redhat.com/errata/RHSA-2009-1561.html

Bulletin de sécurité SuSE SUSE-SA:2009:052 du 04 novembre 2009 :

http://lists.opensuse.org/opensuse-security-announce/2009-11/msg00001.html

Bulletin de sécurité Ubuntu USN-861-1 du 24 novembre 2009 :

http://www.ubuntulinux.org/usn/usn-861-1

Référence CVE CVE-2008-2009

https://www.cve.org/CVERecord?id=CVE-2008-2009

Référence CVE CVE-2009-3379

https://www.cve.org/CVERecord?id=CVE-2009-3379

Gestion détaillée du document

le 26 novembre 2009: version initiale.