Porada dotycząca bezpieczeństwa Debiana
DSA-915-1 helix-player -- przepełnienie buforu
- Data Zgłoszenia:
- 02.12.2005
- Narażone Pakiety:
- helix-player
- Podatny:
- Tak
- Odnośniki do baz danych na temat bezpieczeństwa:
- Baza danych Bugtraq (SecurityFocus): Nr BugTraq 15381.
W słowniku CVE Mitre-a CVE-2005-2629. - Więcej informacji:
-
Pełne przepełnienie buforu zostało odkryte w helix-player, odtwarzaczu audio i wideo helix. Błąd ten mógłby zostać użyty przez zewnętrznego atakującego do wykonainia dowolnego kodu na komputerze ofiary poprzez umiejętnie przekształcony zasób sieci.
Stara stabilna dystrybucja (woody) nie zawiera pakietu helix-player.
Dla stabilnej dystrybucji (sarge) błędy te zostały poprawione w wersji 1.0.4-1sarge2.
Dla niestabilnej dystrybucji (sid) błędy te zostały poprawione w wersji 1.0.6-1.
Rekomendujemy, byś uaktualnił swój pakiet helix-player.
- Naprawiony w:
-
Debian GNU/Linux 3.1 (sarge)
- Źródło:
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge2.dsc
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge2.diff.gz
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge2.diff.gz
- Intel IA-32:
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge2_i386.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge2_powerpc.deb
Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.