Säkerhetsbulletin från Debian
DSA-435-1 mpg123 -- heapspill
- Rapporterat den:
- 2004-02-06
- Berörda paket:
- mpg123
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 8680.
I Mitres CVE-förteckning: CVE-2003-0865. - Ytterligare information:
-
En sårbarhet upptäcktes i mpg123, en kommandorads-mp3-spelare, med vilken en HTTP-server kunde spilla en buffert som allokerats på heapen och potentiellt göra det möjligt att exekvera godtycklig kod med samma privilegier som den användare som startat mpg123. För att kunna utnyttja denna sårbarhet måste mpg123 hämta en mp3-ström från en elakartad server via HTTP.
För den nuvarande stabila utgåvan (Woody) har detta problem rättats i version 0.59r-13woody2.
För den instabila utgåvan (Sid) har detta problem rättats i version 0.59r-15.
Vi rekommenderar att ni uppgraderar ert mpg123-paket.
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2.dsc
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2.diff.gz
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r.orig.tar.gz
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_alpha.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_alpha.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_i386.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_i386.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-nas_0.59r-13woody2_i386.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-oss-3dnow_0.59r-13woody2_i386.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-oss-i486_0.59r-13woody2_i386.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_powerpc.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_powerpc.deb
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.