Debians sikkerhedsbulletin
DSA-435-1 mpg123 -- heap-overløb
- Rapporteret den:
- 6. feb 2004
- Berørte pakker:
- mpg123
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 8680.
I Mitres CVE-ordbog: CVE-2003-0865. - Yderligere oplysninger:
-
En sårbarhed er opdaget i mpg123, en mp3-afspiller til kommandolinien, hvor et svar fra en fjern HTTP-server kunne få en buffer, allokeret på heap'en, til at løbe over, og dermed potentielt give mulighed for udførelse af vilkårlig kode med rettighederne hørende til brugeren der kører mpg123. For at udnytte denne sårbarhed, skulle mpg123 bede om en mp3-strøm fra en ondsindet fjern server via HTTP.
I den nuværende stabile distribution (woody) er dette problem rettet i version 0.59r-13woody2.
I den ustabile distribution (sid) er dette problem rettet i version 0.59r-15.
Vi anbefaler at du opdaterer din mpg123-pakke.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2.dsc
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2.diff.gz
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r.orig.tar.gz
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_alpha.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_alpha.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_i386.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_i386.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-nas_0.59r-13woody2_i386.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-oss-3dnow_0.59r-13woody2_i386.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-oss-i486_0.59r-13woody2_i386.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_powerpc.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_powerpc.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.