Vulnérabilité dans la bibliothèque speex

Gestion du document

Référence	CERTA-2008-AVI-219
Titre	Vulnérabilité dans la bibliothèque speex
Date de la première version	18 avril 2008
Date de la dernière version	18 avril 2008
Source(s)	Bulletin de sécurité oCERT-2008-004 du 17 avril 2008
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

speex versions 1.1.12 et antérieures ;
gstreamer-plugins-good versions 0.10.8 et antérieures ;
SDL_sound versions 1.0.1 et antérieures ;
sweep versions 0.9.2 et antérieures ;
vorbis-tools versions 1.2.0 et antérieures ;
VLC media player versions 0.8.6f et antérieures ;
xine-lib versions 1.11.1.1 et antérieures.

Résumé

Une vulnérabilité dans la bibliothèque speex permet l'exécution de code arbitraire à distance.

Description

Une vulnérabilité de type débordement de mémoire a été découverte dans la bibliothèque speex, utilisée par de nombreux produits. L'exploitation de cette vulnérabilité permet l'exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité oCERT-2008-004 du 17 avril 2008 :
```
http://www.ocert.org/advisories/ocert-2008-004.html
```
Bulletin de sécurité RedHat RHSA-2008:0235 du 16 avril 2008 :
```
http://rhn.redhat.com/errata/RHSA-2008-0235.html
```

Bulletins de sécurité Fedora du 17 avril 2008 :

http://www.redhat.com/archives/fedora-package-announce/2008-April/msg00357.html

http://www.redhat.com/archives/fedora-package-announce/2008-April/msg00287.html

Bulletin de sécurité Gentoo GLSA-200804-17 du 17 avril 2008 :
```
http://www.gentoo.org/security/en/glsa/glsa-200804-17.xml
```

Avis du CERT-FR

Objet: Vulnérabilité dans la bibliothèque speex