漏洞信息详情

xine 'vcd'协议处理远程任意指令执行漏洞

• CNNVD编号：CNNVD-200412-605
• 危害等级： 中危
  
• CVE编号： CVE-2004-1455
• 漏洞类型： 边界条件错误
• 发布时间： 2004-08-08
• 威胁类型： 远程
• 更新时间： 2005-10-20
• 厂        商： xine
• 漏洞来源： c0ntex※ c0ntex@hus...

漏洞简介

Xine是Linux系统下播放VCD/DVD的程序。 Xine处理\'\'vcd：//\'\'协议时缺少正确的边界缓冲区检查，远程攻击者可以利用这个漏洞以进程权限在系统上执行任意指令。 攻击者可以构建在播放文件中嵌入特殊的\'\'vcd：//\'\'协议的数据，当目标用户播放此文件时，可触发基于堆栈的缓冲区溢出，精心构建文件数据可能以进程权限在系统上执行任意指令。

漏洞公告

厂商补丁： xine ---- 目前CVS已经修正此漏洞：

http://sourceforge.net/mailarchive/forum.php?thread_id=5143955&forum_id=11923

参考网址

来源: BID 名称: 10890 链接:http://www.securityfocus.com/bid/10890 来源: GENTOO 名称: GLSA-200408-18 链接:http://www.gentoo.org/security/en/glsa/glsa-200408-18.xml 来源: XF 名称: xine-vcd-identifier-bo(16930) 链接:http://xforce.iss.net/xforce/xfdb/16930 来源: SECUNIA 名称: 12194 链接:http://secunia.com/advisories/12194/ 来源: BUGTRAQ 名称: 20040817 Open Security Group Advisory #6 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109284737628045&w=2 来源：NSFOCUS 名称：6782 链接：http://www.nsfocus.net/vulndb/6782

受影响实体

• Xine Xine-Lib:1_beta9  
• Xine Xine-Lib:1_rc2  
• Xine Xine-Lib:1_rc3a  
• Xine Xine-Lib:1_rc3b  
• Xine Xine-Lib:1_rc3c  

补丁

暂无