Debian DSA-3150-1：vlc - セキュリティ更新

high Nessus プラグイン ID 81130

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Fabian Yamaguchi 氏が、VLC、マルチメディアプレイヤーとストリーマーで、複数の脆弱性を発見しました：

- CVE-2014-9626 MP4 デマルチプレクサー、文字列ボックスの解析時に、ボックス長を適切にチェックしていませんでした。そのため、memcpy() コールの長さの値を使用する場合、整数アンダーフローになるかもしれません。これにより、細工された MP4 ファイルを介して、リモートの攻撃者がサービス拒否（クラッシュ）または任意のコードの実行を引き起こす可能性があります。

- CVE-2014-9627 MP4 デマルチプレクサー、文字列ボックスの解析時に、32 ビットのプラットフォームで 64 ビットの整数から 32 ビットへの整数のボックス長の変換によって、切り捨てが発生しないというチェックを適切にしていませんでした。そのため、バッファオーバーフローを起こす可能性があります。これにより、細工された MP4 ファイルを介して、リモートの攻撃者がサービス拒否（クラッシュ）または任意のコードの実行を引き起こす可能性があります。

- CVE-2014-9628 MP4 デマルチプレクサー、文字列ボックスの解析時に、ボックス長を適切にチェックしていなかったため、バッファオーバーフローの可能性があります。これにより、細工された MP4 ファイルを介して、リモートの攻撃者がサービス拒否（クラッシュ）または任意のコードの実行を引き起こす可能性があります。

- CVE-2014-9629 Dirac と Schroedinger エンコーダーは、32 ビットプラットフォームで整数オーバーフローのチェックを適切にしていなかったため、バッファオーバーフローを起こす可能性があります。これにより、リモートの攻撃者が、サービス拒否（クラッシュ）を引き起こしたり、任意のコードを実行したりする可能性があります。

ソリューション

vlc パッケージをアップグレードしてください。

安定版（stable）ディストリビューション（wheezy）に対して、これらの問題はバージョン 2.0.3-5+deb7u2 で修正されています。

将来の安定版（stable）ディストリビューション（jessie）では、これらの問題はバージョン 2.2.0 から rc2-2 で修正されています。