USN-771-1 : Vulnérabilités dans libmodplug
Un problème de sécurité affecte les versions suivantes de Ubuntu :
Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.
Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :
| Ubuntu 6.06 LTS : | |||
| libmodplug0c2 | 1:0.7-5ubuntu0.6.06.2 | ||
| Ubuntu 8.04 LTS : | |||
| libmodplug0c2 | 1:0.7-7ubuntu0.8.04.1 | ||
| Ubuntu 8.10 : | |||
| libmodplug0c2 | 1:0.7-7ubuntu0.8.10.1 | ||
| Ubuntu 9.04 : | |||
| libmodplug0c2 | 1:0.8.4-3ubuntu1.1 | ||
En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.
Détails :
Il a été découvert que libmodplug ne gérait pas correctement certains paramètres lorsqu’il parcourait des fichiers MED. Si un utilisateur ou un système automatisé était amené à ouvrir un fichier MED spécialement conçu, un attaquant pourrait exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-1438)
Manfred Tremmel et Stanislav Brabec ont découvert que libmodplug ne gérait pas correctement les noms longs d’instrument lorsqu’il parcourait des fichiers d’échantillons PAT. Si un utilisateur ou un système automatisé était amené à ouvrir un fichier PAT spécialement conçu, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application.
Ce problème n’a affecté que Ubuntu 9.04. (CVE-2009-1438)
