漏洞信息详情
Xine-lib DVD子图象解码器堆溢出漏洞
- CNNVD编号:CNNVD-200409-040
- 危害等级: 高危
- CVE编号: CVE-2004-1379
- 漏洞类型: 边界条件错误
- 发布时间: 2004-09-16
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: xine
- 漏洞来源: Michael Roitzsch※ ...
漏洞简介
Xine是Linux系统下播放VCD/DVD的程序。 Xine-lib包含的DVD子图象解码器存在基于堆的溢出,本地攻击者可以利用这个漏洞以xine进程权限执行任意指令。 在处理部分恶意DVD或者MPEG内容时,Xine-lib包含的DVD子图象解码器存在问题。Xine-lib解码器转换子图象数据并存储在动态分配的内存中,由于对所需的缓冲区空间计算存在缺陷可导致分配的内存过小,在拷贝数据时发生基于堆的溢出,精心构建子图象数据可能以xine进程权限执行任意指令。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 删除如下共享库:
xineplug_decode_spu.so 厂商补丁: xine ---- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
xine Upgrade xine-lib-1-rc6a.tar.gz
http://prdownloads.sourceforge.net/xine/xine-lib-1-rc6a.tar.gz?download
参考网址
来源: xinehq.de 链接:http://xinehq.de/index.php/security/XSA-2004-5 来源: XF 名称: xine-dvd-subpicture-bo(17423) 链接:http://xforce.iss.net/xforce/xfdb/17423 来源: BID 名称: 11205 链接:http://www.securityfocus.com/bid/11205 来源: GENTOO 名称: GLSA-200409-30 链接:http://www.gentoo.org/security/en/glsa/glsa-200409-30.xml 来源: DEBIAN 名称: DSA-657 链接:http://www.debian.org/security/2005/dsa-657 来源: SLACKWARE 名称: SSA:2004-266 链接:http://slackware.com/security/viewer.php?l=slackware-security&y=2004&m=slackware-security.320308 来源: www.vuxml.org 链接:http://www.vuxml.org/freebsd/131bd7c4-64a3-11d9-829a-000a95bc6fae.HTML 来源: BUGTRAQ 名称: 20040906 XSA-2004-5: heap overflow in DVD subpicture decoder 链接:http://www.securityfocus.com/archive/1/375482/2004-09-02/2004-09-08/0
受影响实体
- Xine Xine-Lib:0.9.8
- Xine Xine-Lib:1_beta12
- Xine Xine-Lib:1_beta2
- Xine Xine-Lib:1_beta3
- Xine Xine-Lib:1_beta4
补丁
暂无
评论