Risque
- Déni de service ;
- exécution de code arbitraire.
Systèmes affectés
SoX versions 12.17.2, 12.17.3 et 12.17.4.Résumé
Deux vulnérabilités dans SoX permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire.
Description
SoX (Sound eXchange) est un utilitaire UNIX permettant de jouer, enregistrer et traduire des échantillons sonores dans différents formats.Deux débordements de mémoire dans SoX permettent à un utilisateur mal intentionné, via la construction d'un fichier musical d'extension .wav, de réaliser un déni de service ou d'exécuter du code arbitraire sur la plate-forme vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de SoX :
http://sox.sourceforge.net
- Bulletin de sécurité Mandrake MDKSA-2004:076 du 28 juillet 2004 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:076
- Bulletin de sécurité RedHat RHSA-2004:409 du 29 juillet 2004 :
http://rhn.redhat.com/errata/RHSA-2004-409.html
- Bulletin de sécurité Gentoo GLSA 200407-23 du 30 juillet 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200407-23.xml
- Bulletin de sécurité Debian DSA-565 du 13 octobre 2004 :
http://www.debian.org/security/2004/dsa-565
- Bulletin de sécurité Fedora FLSA:1945 du 20 février 2005 :
https://bugzilla.fedora.us/show_bug.cgi?id=1945
- Bulletin de sécurité OpenBSD pour sox du 31 juillet 2004 :
http://www.vuxml.org/openbsd
- Bulletin de sécurité FreeBSD pour sox du 26 août 2004 :
http://www.vuxml.org/freebsd
- Référence CVE CAN-2004-0557 :
https://www.cve.org/CVERecord?id=CAN-2004-0557