Debians sikkerhedsbulletin

DSA-435-1 mpg123 -- heap-overløb

Rapporteret den:
6. feb 2004
Berørte pakker:
mpg123
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 8680.
I Mitres CVE-ordbog: CVE-2003-0865.
Yderligere oplysninger:

En sårbarhed er opdaget i mpg123, en mp3-afspiller til kommandolinien, hvor et svar fra en fjern HTTP-server kunne få en buffer, allokeret på heap'en, til at løbe over, og dermed potentielt give mulighed for udførelse af vilkårlig kode med rettighederne hørende til brugeren der kører mpg123. For at udnytte denne sårbarhed, skulle mpg123 bede om en mp3-strøm fra en ondsindet fjern server via HTTP.

I den nuværende stabile distribution (woody) er dette problem rettet i version 0.59r-13woody2.

I den ustabile distribution (sid) er dette problem rettet i version 0.59r-15.

Vi anbefaler at du opdaterer din mpg123-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2.dsc
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2.diff.gz
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_alpha.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_i386.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_i386.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-nas_0.59r-13woody2_i386.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-oss-3dnow_0.59r-13woody2_i386.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-oss-i486_0.59r-13woody2_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_powerpc.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.