Vulnérabilité dans libvorbis

Gestion du document

Référence	CERTA-2012-AVI-091-001
Titre	Vulnérabilité dans libvorbis
Date de la première version	20 février 2012
Date de la dernière version	05 mars 2012
Source(s)	Bulletin de sécurité Debian DSA-2412-1 du 19 février 2012
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Toutes les versions de libvorbis antérieures à la version 1.3.3.

Résumé

Une vulnérabilité dans libvorbis permet l'exécution de code arbitraire à distance au moyen d'un fichier Ogg Vorbis spécialement conçu.

Description

Une vulnérabilité affecte la bibliothèque libvorbis. Celle-ci permet à un attaquant d'exécuter du code arbitraire à distance au moyen d'un fichier Ogg Vorbis spécialement conçu. Cette bibliothèque est utilisée par de nombreux projets.

Solution

Se référer aux bulletins de sécurité des éditeurs des logiciels utilisant cette bibliothèque pour l'obtention des correctifs (cf. section Documentation).

Documentation

Ensemble de changements dans le code source de libvorbis numéro 18151 :
```
https://trac.xiph.org/changeset/18151
```
Bulletin de sécurité Debian DSA 2412 du 20 février 2012 :
```
http://www.debian.org/security/2012/dsa-2412
```
Bulletin de sécurité RedHat RHSA-2012:0136 du 20 février 2012 :
```
http://rhn.redhat.com/errata/RHSA-2012-0136.html
```

Bulletin de sécurité OpenSuse #747912 du 01 mars 2012 :

http://lists.opensuse.org/opensuse-security-announce/2012-03/msg00000.html

Bulletin de sécurité Mozilla Foundation MFSA 2012-07 du 31 Janvier 2012 :
```
http://www.mozilla.org/security/announce/2012/mfsa2012-07.html
```

Référence CVE CVE-2012-0444 :

https://www.cve.org/CVERecord?id=CVE-2012-0444

Gestion détaillée du document

le 20 février 2012: version initiale ;

le 05 mars 2012: ajout du bulletin de sécurité OpenSuse.

Avis du CERT-FR

Objet: Vulnérabilité dans libvorbis