GLSA 200405-24: MPlayer, xine-lib: vulnerabilities in RTSP stream handling
| Опасность: | высокая |
| Заголовок: | MPlayer, xine-lib: vulnerabilities in RTSP stream handling |
| Дата: | 28.05.2004 |
| Ошибки: | |
| ID: | 200405-24 |
Сводка
Multiple vulnerabilities, including remotely exploitable buffer overflows, have been found in code common to MPlayer and the xine library.Назначение
MPlayer is a movie player capable of handling multiple multimedia file formats. xine-lib is a multimedia player library used by several graphical user interfaces, including xine-ui. They both use the same code to handle Real-Time Streaming Protocol (RTSP) streams from RealNetworks servers.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| media-video/mplayer | < 1.0_pre4 | >= 1.0_pre4 | All supported architectures |
| media-libs/xine-lib | < 1_rc4 | >= 1_rc4 | All supported architectures |
Описание
Multiple vulnerabilities have been found and fixed in the RTSP handling code common to recent versions of these two packages. These vulnerabilities include several remotely exploitable buffer overflows.
Воздействие
A remote attacker, posing as a RTSP stream server, can execute arbitrary code with the rights of the user of the software playing the stream (MPlayer or any player using xine-lib). Another attacker may entice a user to use a maliciously crafted URL or playlist to achieve the same results.
Обход
For MPlayer, there is no known workaround at this time. For xine-lib, you can delete the xineplug_inp_rtsp.so file.
Решение
All users should upgrade to non-vulnerable versions of MPlayer and xine-lib:
# emerge sync
# emerge -pv ">=media-video/mplayer-1.0_pre4"
# emerge ">=media-video/mplayer-1.0_pre4"
# emerge -pv ">=media-libs/xine-lib-1_rc4"
# emerge ">=media-libs/xine-lib-1_rc4"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.