Journal Des vulnérabilités dans FLAC

Posté par  (site web personnel, Mastodon) .
Étiquettes : aucune
0
21
nov.
2007
eEye annonce des vulnérabilités multiples dans FLAC.

http://research.eeye.com/html/advisories/published/AD2007111(...)

Cependant, les failles ont été corrigées dans la libFLAC en septembre :

Vendor Status:
libFLAC version 1.2.1 was released in September, 2007, fixing these
vulnerabilities for most vulnerable applications. Unfortunately, many
vendors that were using libFLAC within their media applications or using
their own homegrown FLAC file parsers had not been informed that their
FLAC file parser was vulnerable. Because of that, the release of this
advisory was postponed until all vulnerable vendors were contacted in
coordination with US-CERT.


Cependant certaines applications seraient encore vulnérables, notamment Cog, dBpoweramp, Foobar2000, jetAudio, PhatBox et des trucs Yahoo. Pour le libre, une citation : "Players like MPlayer, VLC Media Player, GStreamer, ffdshow, xmms and xine can also be affected by the vulnerability if they are linked against libFLAC for FLAC support. Usually these players are linked against libavcodec which is not affected by the vulnerability" ( http://www.heise-security.co.uk/news/99108 ).

Pensez à mettre à jour !

L'info sur /. : http://it.slashdot.org/article.pl?sid=07/11/20/0137240

  • # Et Ogg/Vorbis ?

    Posté par  (site web personnel) . Évalué à 10.

    J'ai lancé une campagne de fuzzing et j'ai trouvé divers bugs plus ou moins graves. J'ai écrit un patch, mais les auteurs de la bibliothèque Tremor ne s'en soucient pas.
    https://trac.xiph.org/ticket/1254

    Il reste d'autres bugs non corrigés.

    • [^] # Re: Et Ogg/Vorbis ?

      Posté par  (site web personnel) . Évalué à 7.

      Aujourd'hui j'aurais appris ce qu'est le fuzzing (une méthode de test de programme)

      http://fr.wikipedia.org/wiki/Fuzzing

      • [^] # Commentaire supprimé

        Posté par  . Évalué à 2.

        Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Et Ogg/Vorbis ?

      Posté par  (site web personnel) . Évalué à 7.

      D'après ton bug report ça fait deux semaines que tu a posté le résultat de ton fuzzing.
      C'est beaucoup ou pas beaucoup comme temps de réponse ?

    • [^] # Re: Et Ogg/Vorbis ?

      Posté par  . Évalué à 6.

      Moi j'ai rapporte un bug critique du G++ de debian etch (critique du genre ca genere du code qui marche pas) et tout le monde s'en tape:

      http://people.debian.org/~terpstra/message/20071010.095132.e(...)

      L'histoire de la traque de ce bug est d'ailleurs assez cocasse:

      Il s'agit d'un bug dans l'initialisation de variables globales par autre chose qu'une constante dans G++, qui n'etait pas effectue...
      ... qui provocait un bug dans bochs, l'emulateur de PC, executant de maniere incorrecte certaines instructions de calcul flottant...
      ... qui provocait un bug dans un programme en user space sur un noyau que j'essayait de debuguer.

      Vu le temps que j'ai passe a trouver son origine, j'aurais bien aime que quelqu'un s'en occupe! Surtout que si ca tombe une bonne partie de l'archive debian etch est compilee avec ce compilateur...

      Sinon, vous faites quoi quand personne ne repond a votre bug report, y compris dans des projets actifs (genre Emacs ou Debian)?

      • [^] # Re: Et Ogg/Vorbis ?

        Posté par  (site web personnel) . Évalué à 3.

        > vous faites quoi quand personne ne repond a votre bug report

        Envois un email sur la mailinglist list pour leur rappeller. Ou un mail privé au mainteneur.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.