GLSA 200503-34: mpg321: Format string vulnerability
Опасность: | средняя |
Заголовок: | mpg321: Format string vulnerability |
Дата: | 28.03.2005 |
Ошибки: |
|
ID: | 200503-34 |
Сводка
A flaw in the processing of ID3 tags in mpg321 could potentially lead to the execution of arbitrary code.Назначение
mpg321 is a GPL replacement for mpg123, a command line audio player with support for ID3. ID3 is a tagging system that allows metadata to be embedded within media files.
Уязвимые пакеты
Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
---|---|---|---|
media-sound/mpg321 | < 0.2.10-r2 | >= 0.2.10-r2 | All supported architectures |
Описание
A routine security audit of the mpg321 package revealed a known security issue remained unpatched. The vulnerability is a result of mpg321 printing embedded ID3 data to the console in an unsafe manner.
Воздействие
Successful exploitation would require a victim to play a specially crafted audio file using mpg321, potentially resulting in the execution of arbitrary code.
Обход
There is no known workaround at this time.
Решение
All mpg321 users should upgrade to the latest version:
# emerge --sync # emerge --ask --oneshot --verbose ">=media-sound/mpg321-0.2.10-r2"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.