Vulnérabilités dans Live555 (bibliothèque de streaming multimédia)
Date de publication :
Deux vulnérabilités critiques ont été corrigées dans Live55, une bibliothèque de streaming multimédia. Elles peuvent permettre à un attaquant de provoquer un déni de service ainsi qu’un autre impact non spécifié, probablement une exécution de code arbitraire à distance au vu de la nature de la vulnérabilité.
CVE-2019-7314 [Score CVSS v3 : 9.8] : Une vulnérabilité de type “use-after-free” a été découverte dans liblivemedia dans Live555, elle est due à un traitement incorrect de la terminaison d’une diffusion RTSP. Cette vulnérabilité peut permettre à un attaquant de provoquer un déni de service ainsi qu’un autre impact non spécifié, probablement une exécution de code arbitraire à distance au vu de la nature de la vulnérabilité.
CVE-2019-9215 [Score CVSS v3 : 9.8] : Dans la fonction parseAuthorizationHeader de Live555, des entêtes mal formées peuvent conduire à une corruption de la mémoire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exécution de code arbitraire à distance
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible à ce jour
Composants vulnérables
- Live555 toutes versions avant la 0.95
CVE
- CVE-2019-7314
- CVE-2019-9215
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les paquets Live555
Solution de contournement
Aucune solution de contournement