Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Toutes les versions de libvorbis antérieures à la version 1.3.3.
Résumé
Une vulnérabilité dans libvorbis permet l'exécution de code arbitraire à distance au moyen d'un fichier Ogg Vorbis spécialement conçu.
Description
Une vulnérabilité affecte la bibliothèque libvorbis. Celle-ci permet à un attaquant d'exécuter du code arbitraire à distance au moyen d'un fichier Ogg Vorbis spécialement conçu. Cette bibliothèque est utilisée par de nombreux projets.
Solution
Se référer aux bulletins de sécurité des éditeurs des logiciels utilisant cette bibliothèque pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA 2412 du 20 février 2012 : http://www.debian.org/security/2012/dsa-2412
- Bulletin de sécurité Mozilla Foundation MFSA 2012-07 du 31 Janvier 2012 : http://www.mozilla.org/security/announce/2012/mfsa2012-07.html
- Bulletin de sécurité OpenSuse #747912 du 01 mars 2012 : http://lists.opensuse.org/opensuse-security-announce/2012-03/msg00000.html
- Bulletin de sécurité RedHat RHSA-2012:0136 du 20 février 2012 : http://rhn.redhat.com/errata/RHSA-2012-0136.html
- Ensemble de changements dans le code source de libvorbis numéro 18151 : https://trac.xiph.org/changeset/18151
- Référence CVE CVE-2012-0444 https://www.cve.org/CVERecord?id=CVE-2012-0444
