S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 05 mars 2012 No CERTA-2012-AVI-091-001

Affaire suivie par :

CERTA

Objet : Vulnérabilité dans libvorbis

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance.

2 Systèmes affectés

Toutes les versions de libvorbis antérieures à la version 1.3.3.

3 Résumé

Une vulnérabilité dans libvorbis permet l'exécution de code arbitraire à distance au moyen d'un fichier Ogg Vorbis spécialement conçu.

4 Description

Une vulnérabilité affecte la bibliothèque libvorbis. Celle-ci permet à un attaquant d'exécuter du code arbitraire à distance au moyen d'un fichier Ogg Vorbis spécialement conçu. Cette bibliothèque est utilisée par de nombreux projets.

5 Solution

Se référer aux bulletins de sécurité des éditeurs des logiciels utilisant cette bibliothèque pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Ensemble de changements dans le code source de libvorbis numéro 18151 :

  https://trac.xiph.org/changeset/18151
  

• Bulletin de sécurité Debian DSA 2412 du 20 février 2012 :

  http://www.debian.org/security/2012/dsa-2412
  

• Bulletin de sécurité RedHat RHSA-2012:0136 du 20 février 2012 :

  http://rhn.redhat.com/errata/RHSA-2012-0136.html
  

• Bulletin de sécurité OpenSuse #747912 du 01 mars 2012 :

  http://lists.opensuse.org/opensuse-security-announce/2012-03/msg00000.html
  

• Bulletin de sécurité Mozilla Foundation MFSA 2012-07 du 31 Janvier 2012 :

  http://www.mozilla.org/security/announce/2012/mfsa2012-07.html
  

• Référence CVE CVE-2012-0444 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0444
  

Gestion détaillée du document

20 février 2012

version initiale ;

05 mars 2012

ajout du bulletin de sécurité OpenSuse.