Amazon Linux 2 : sox (ALAS-2023-2231)

critical Nessus 插件 ID 181164

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 sox 版本低于 14.4.1-7。因此，该软件受到 ALAS2-2023-2231 公告中提及的多个漏洞影响。

在 SoX 中发现一个漏洞formats_i.c 文件的 lsx_read_w_buf() 函数中发生堆缓冲区溢出。攻击者可通过特别构建的文件利用此漏洞，从而导致应用程序崩溃。(CVE-2021-23159)

在 sox 中发现一个缺陷 14.4.1。libsox 中的 lsx_adpcm_init 函数导致全局缓冲区溢出。利用此缺陷，攻击者可以输入恶意文件，导致敏感信息泄露。(CVE-2021-3643)

在 SoX 中 14.4.2在 libsox.a 的 aiff.c 中lsx_aiffstartwrite 存在浮点异常。
(CVE-2022-31650)

在 SoX 14.4.2中libsox.a 中 rate.c 内的 rate_init 存在断言失败。 (CVE-2022-31651)

在 sox v14.4.3 中发现漏洞即 sox/src/aiff.c:622:58 的 lsx_aiffstartwrite 函数中存在的浮点异常漏洞。此漏洞可导致拒绝服务等安全问题。 (CVE-2023-26590)

在 sox v14.4.3 中发现漏洞即 sox/src/voc.c:334:18 的 read_samples 函数中存在的浮点异常漏洞。此漏洞可导致拒绝服务等安全问题。 (CVE-2023-32627)

在 sox v14.4.3 中发现漏洞即堆缓冲区溢出漏洞存在于 sox/src/hcom.c:160:41 的 startread 函数中。此漏洞可导致拒绝服务、代码执行或信息泄露等安全问题 (CVE-2023-34318)

在 sox v14.4.3 中发现漏洞即 sox/src/formats_i.c:98:16 的 lsx_readbuf 函数中存在的堆缓冲区溢出漏洞。此漏洞可导致拒绝服务、代码执行或信息泄露等安全问题。 (CVE-2023-34432)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。