Debian-Sicherheitsankündigung

DSA-435-1 mpg123 -- Heap-Überlauf

Datum des Berichts:
06. Feb 2004
Betroffene Pakete:
mpg123
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 8680.
In Mitres CVE-Verzeichnis: CVE-2003-0865.
Weitere Informationen:

Eine Verwundbarkeit in mpg123 (einem Befehlszeilen-mp3-Abspieler) wurde entdeckt, bei dem eine Antwort von einem entfernten HTTP-Server einen im Heap angelegten Puffer überlaufen lassen kann, was es möglicherweise erlaubt, willkürlichen Code mit den Berechtigungen des Benutzers auszuführen, der mpg123 ausführt. Um diese Verwundbarkeit auszunutzen, müsste mpg123 einen mp3-Stream von einem böswilligen entfernten Server über HTTP abrufen.

Für die aktuelle stable Distribution (Woody) wurde dieses Problem in Version 0.59r-13woody2 behoben.

Für die unstable Distribution (Sid) wurde dieses Problem in Version 0.59r-15 behoben.

Wir empfehlen Ihnen, Ihr mpg123-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2.dsc
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2.diff.gz
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_alpha.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_i386.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_i386.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-nas_0.59r-13woody2_i386.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-oss-3dnow_0.59r-13woody2_i386.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-oss-i486_0.59r-13woody2_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_powerpc.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.