Debians sikkerhedsbulletin

DSA-2257-1 vlc -- heap-baseret bufferoverløb

Rapporteret den:
10. jun 2011
Berørte pakker:
vlc
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-2194.
Yderligere oplysninger:

Rocco Calvi opdagede at XSPF-spilleliste-fortolkeren i VLC, en multimedieafspiller og -streamer, var ramt af et heltalsoverløb, medførende et heap-baseret bufferoverløb. Dermed kunne det være muligt for en angriber, at udføre vilkårlig kode, ved at narre et offer til at åbne en særligt fabrikeret fil.

Den gamle stabile distribution (lenny) er ikke påvirket at dette problem.

I den stabile distribution (squeeze), er dette problem rettet i version 1.1.3-1squeeze6.

I distributionen testing (wheezy) og i den ustabile distribution (sid), vil problemet snart blive rettet.

Vi anbefaler at du opgraderer dine vlc-pakker.