多个xine MMS和Real RTSP流客户端堆溢出漏洞
2008-04-09 04:19:39来源:互联网 阅读 ()
发布日期:2005-04-22
更新日期:2005-04-27
受影响系统:
xine xine-lib 1.0不受影响系统:
xine xine-lib 1-rc
xine xine-lib 1-beta
xine xine-lib 1-alpha.
xine xine-lib 0.9
xine xine-lib 1.0.1描述:
xine xine-lib 0.9.9之前版本
xine是一款免费的多媒体播放器,支持CD、DVD和VCD。
xine的MMS和Real RTSP流客户端存在缓冲区溢出漏洞,攻击者可能以进程权限执行任意指令。
xine的MMS和Real RTSP流客户端代码盲目信任传输的数据,缺少必要的边界检查,因此如果远程攻击者能够诱骗xine客户端打开恶意的媒体文件时,就可能导致堆溢出,以运行应用程序用户的权限执行任意代码。
<*来源:Michael Roitzsch (mroi@users.sourceforge.net)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111411545809492&w=2
http://www.mplayerhq.hu/homepage/design7/news.html#vuln11
http://www.mplayerhq.hu/homepage/design7/news.html#vuln10
http://www.gentoo.org/security/en/glsa/glsa-200504-19.xml
http://security.gentoo.org/glsa/glsa-200504-27.xml
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 从xine-lib插件目录中删除xineplug_inp_mms.so和xineplug_inp_rtsp.so文件。
厂商补丁:
Gentoo
------
Gentoo已经为此发布了一个安全公告(GLSA-200504-27)以及相应补丁:
GLSA-200504-27:xine-lib: Two heap overflow vulnerabilities
链接:http://security.gentoo.org/glsa/glsa-200504-27.xml
所有xine-lib用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose media-libs/xine-lib
xine
----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://cvs.sourceforge.net/viewcvs.py/xine/xine-lib/src/input/librtsp/rtsp.c?r1=1.18&r2=1.19&diff_format=u
http://cvs.sourceforge.net/viewcvs.py/xine/xine-lib/src/input/mms.c?r1=1.55&r2=1.56&diff_format=u
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
