安全漏洞

安全漏洞补丁公告

当前位置  >  首页  >  服务支持  >  安全漏洞  >  安全漏洞补丁公告

公告ID(KYSA-202101-0043

摘要:libsndfile安全漏洞 安全等级:重要 公告ID:KYSA-202101-0043 发布日期:2022-01-24 影响CVE:CVE-2017-12562、CVE-2018-19758、CVE-2018-19661、CVE-2017-6892、CVE-2017-16942、CVE-2018-19432、CVE-2018-19662、CVE-2017-14246、CVE-2017-14634、CVE-2019-3832、CVE-2018-13139、CVE-2017-14245

详细介绍

1.修复的CVE

    CVE-2017-12562

    libsndfile是软件开发者Erik de Castro Lopo所研发的一个通过标准接口读写AIFFAUWAV等格式的音频文件的C库。

    libsndfile 1.0.28及之前的版本中的common.c文件的‘psf_binheader_writef’函数存在基于堆的缓冲区溢出漏洞。远程攻击者可利用该漏洞造成拒绝服务。

    CVE-2018-19758

    libsndfile是软件开发者Erik de Castro Lopo所研发的一个通过标准接口读写AIFFAUWAV等格式的音频文件的C库。

    libsndfile 1.0.28版本中的wav.c文件存在基于堆的缓冲区越界读取漏洞。攻击者可利用该漏洞造成拒绝服务。

    CVE-2018-19661

    libsndfile是软件开发者Erik de Castro Lopo所研发的一个通过标准接口读写AIFFAUWAV等格式的音频文件的C库。

    libsndfile 1.0.28版本中的ulaw.c文件的‘i2ulaw_array’函数存在缓冲区越界读取漏洞。攻击者可利用该漏洞造成拒绝服务。

    CVE-2017-16942

    libsndfile是软件开发者Erik de Castro Lopo所研发的一个通过标准接口读写AIFFAUWAV等格式的音频文件的C库。

    libsndfile 1.0.25版本中的wav_w64.c文件的‘wav_w64_read_fmt_chunk()’函数存在安全漏洞。攻击者可借助特制的音频文件利用该漏洞造成拒绝服务(除零错误)。

    CVE-2017-6892

    libsndfile是一款用于读取和写入包含采样音频数据的声音文件的AC库。

    libsndfile 1.0.28版本中的‘aiff_read_chanmap()’函数存在缓冲区错误漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。

    CVE-2018-19432

    libsndfile是软件开发者Erik de Castro Lopo所研发的一个通过标准接口读写AIFFAUWAV等格式的音频文件的C库。

    libsndfile 1.0.28版本中的sndfile.c文件的‘sf_write_int’函数存在安全漏洞。攻击者可利用该漏洞造成拒绝服务。

    CVE-2018-19662

    libsndfile是软件开发者Erik de Castro Lopo所研发的一个通过标准接口读写AIFFAUWAV等格式的音频文件的C库。

    libsndfile 1.0.28版本中的alaw.c文件的‘i2alaw_array’函数存在缓冲区越界读取漏洞。攻击者可利用该漏洞造成拒绝服

    CVE-2017-14246

    libsndfile是一款用于读取和写入包含采样音频数据的声音文件的AC库。

    libsndfile 1.0.28版本中的ulaw.c文件的‘d2ulaw_array()’函数存在缓冲区错误漏洞。远程攻击者可利用该漏洞造成拒绝服务或获取敏感信息。

    CVE-2017-14634

    libsndfile是一款用于读取和写入包含采样音频数据的声音文件的AC库。

    libsndfile 1.0.28版本中的double64.c文件的‘double64_init()’函数存在数字错误漏洞。攻击者可借助特制的音频文件利用该漏洞造成拒绝服务(除零错误)。

    CVE-2019-3832

    libsndfile是一款用于读取和写入包含采样音频数据的声音文件的AC库。

    libsndfile中的wav.c文件的‘wav_write_header()’函数存在越界读取漏洞。攻击者可利用该漏洞造成拒绝服务或获取敏感信息。

    CVE-2018-13139

    libsndfile是软件开发者Erik de Castro Lopo所研发的一个通过标准接口读写AIFFAUWAV等格式的音频文件的C库。

    libsndfile 1.0.28版本中的common.c文件的‘psf_memset’函数存在基于栈的缓冲区溢出漏洞。远程攻击者可借助特制的音频文件利用该漏洞造成拒绝服务(应用程序崩溃)。

    CVE-2017-14245

    libsndfile是软件开发者Erik de Castro Lopo所研发的一个通过标准接口读写AIFFAUWAV等格式的音频文件的C库。

    libsndfile 1.0.28版本中的alaw.c文件的‘d2alaw_array()’函数存在缓冲区错误漏洞。远程攻击者可利用该漏洞造成拒绝服务或泄露信息。

    

    

2.影响的操作系统

    银河麒麟桌面操作系统V4 SP1

    银河麒麟桌面操作系统V4 SP2

    银河麒麟桌面操作系统V4 SP3

    银河麒麟桌面操作系统V4 SP4

    银河麒麟服务器操作系统V4 SP1

    银河麒麟服务器操作系统V4 SP2

    银河麒麟服务器操作系统V4 SP3

    银河麒麟服务器操作系统V4 SP4

    银河麒麟桌面操作系统V10

3.修复版本

    软件包:libsndfile

    1.0.25-10kord0.16.04.3(V4V10)

4.受影响的软件包

    ·银河麒麟操作系统V10桌面版、V4

    libsndfile1-dbg

    libsndfile1-dev

    libsndfile1_1.0.25-10kord0.16.04.3

    sndfile-programs-dbg

    sndfile-programs

5.修复方法

方法一:配置源进行升级安装

打开软件包源配置文件,根据仓库地址进行修改。

4.0.2-sp1:

http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp1-desktop main restricted universe multiverse

4.0.2-sp2:

http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp2-desktop main restricted universe multiverse

4.0.2-sp3:

http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp3-desktop main restricted universe multiverse

4.0.2-sp4:

http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp4-desktop main restricted universe multiverse

10.0:

http://archive.kylinos.cn/kylin/KYLIN-ALL 10.0 main restricted universe multiverse

10.0 SP1:

http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1 main restricted universe multiverse

配置完成后执行更新命令进行升级

$sudo apt update

方法二:下载安装包进行升级安装

通过软件包地址下载软件包,使用软件包升级命令根据受影响的组件包列表 升级相关的组件包。

$dpkg -i Packagelists

6.软件包下载地址

银河麒麟操作系统V10桌面版、V4

X86_64软件包下载地址

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libs/libsndfile/libsndfile1-dbg_1.0.25-10kord0.16.04.3_amd64.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libs/libsndfile/libsndfile1-dev_1.0.25-10kord0.16.04.3_amd64.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libs/libsndfile/libsndfile1_1.0.25-10kord0.16.04.3_amd64.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libs/libsndfile/sndfile-programs-dbg_1.0.25-10kord0.16.04.3_amd64.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libs/libsndfile/sndfile-programs_1.0.25-10kord0.16.04.3_amd64.deb

arm64软件包下载地址

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libs/libsndfile/libsndfile1-dbg_1.0.25-10kord0.16.04.3_arm64.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libs/libsndfile/libsndfile1-dev_1.0.25-10kord0.16.04.3_arm64.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libs/libsndfile/libsndfile1_1.0.25-10kord0.16.04.3_arm64.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libs/libsndfile/sndfile-programs-dbg_1.0.25-10kord0.16.04.3_arm64.deb

http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libs/libsndfile/sndfile-programs_1.0.25-10kord0.16.04.3_arm64.deb


上一篇: KYSA-202101-0042 下一篇: KYSA-202101-0044

试用

服务

动态

联系