Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-435-1 mpg123 -- Heap-Überlauf

Datum des Berichts:

06. Feb 2004

Betroffene Pakete:

mpg123

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 8680.
In Mitres CVE-Verzeichnis: CVE-2003-0865.

Weitere Informationen:

Eine Verwundbarkeit in mpg123 (einem Befehlszeilen-mp3-Abspieler) wurde entdeckt, bei dem eine Antwort von einem entfernten HTTP-Server einen im Heap angelegten Puffer überlaufen lassen kann, was es möglicherweise erlaubt, willkürlichen Code mit den Berechtigungen des Benutzers auszuführen, der mpg123 ausführt. Um diese Verwundbarkeit auszunutzen, müsste mpg123 einen mp3-Stream von einem böswilligen entfernten Server über HTTP abrufen.

Für die aktuelle stable Distribution (Woody) wurde dieses Problem in Version 0.59r-13woody2 behoben.

Für die unstable Distribution (Sid) wurde dieses Problem in Version 0.59r-15 behoben.

Wir empfehlen Ihnen, Ihr mpg123-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:

http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2.dsc

http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2.diff.gz

http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_alpha.deb

http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_alpha.deb

ARM:

http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_i386.deb

http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_i386.deb

http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-nas_0.59r-13woody2_i386.deb

http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-oss-3dnow_0.59r-13woody2_i386.deb

http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-oss-i486_0.59r-13woody2_i386.deb

Motorola 680x0:

http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_m68k.deb

PowerPC:

http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_powerpc.deb

http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_powerpc.deb

Sun Sparc:

http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français 日本語 (Nihongo) polski Русский (Russkij) svenska

Wie stellt man die Standardsprache ein