Sécurité informatique

securite informatique
     SECURINFOS
     in English
     Bulletins sécurité
     Docs sécurité
     Logiciels sécurité
     Vieux Logiciels
     Forum sécurité
     Services
     Définitions
     Astuces Windows
     MetaSploit
     M$ OPcodes
     Passwords
     Dictionnaires
     Contact
     Liens

SecurInfos.info - Bulletins de sécurité informatique, Alertes et Protection

xine-lib CDDB Client : Vulnérabilité de Format de Chaînes Envoyer ce bulletin de sécurité informatique par mail

10/10/2005 11H07
Référence Secunia : SA17099
Risque : Critique. Niveau 4 sur 5.

Impact : Accès au système
Lieu : A distance

Solutions :
Correctif de l'éditeur
Produit : xine-lib 1.x

Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2967

Description :
Ulf Harnhammar a rapporté une vulnérabilité dans xine-lib, qui pourrait être exploitée par des personnes malintentionnées pour compromettre un système vulnérable.

La vulnérabilité est causée du fait d'une erreur de format de chaînes dans "input_cdda.c" lors de l'écriture de méta-données CD récupérées depuis un serveur CDDB dans un fichier de cache. Cela pourrait être exploité pour exécuter des commandes arbitraires sur le système d'un utilisateur quand l'utilisateur joue un CD, qui entraine xine-lib à télécharger des méta-données CD potentiellement mlalicieuses depuis un serveur CDDB.

L'exploitation de ce problème est possible seulement si l'attaquant par ex. modifie des entrées sur le serveur CDDB, pousse l'utilisateur à se connecter au serveur CDDB malicieux, ou pousse l'utilisateur à visiter un site web contenant des données MRL (Media Resource Locator).

La vulnérabilité a été rapportée dans les versions suivantes: * 1-beta réalise à partir de 1-beta3.
* 1-rc releases.
* 1.0 réalise supérieur ou égal à 1.0.2.
* 1.1.0


Solutions :
Mettre à jour en version 1.0.3a.
http://xinehq.de/index.php/releases


La vulnérabilité a été également corrigée dans le CVS.

Vulnérabilité découverte par : Ulf Harnhammar

Référence :
Xine:
http://xinehq.de/index.php/security/XSA-2005-1


Gentoo Bugzilla:
http://bugs.gentoo.org/show_bug.cgi?id=107854


Veuillez noter : L'information, sur laquelle est basé ce bulletin Secunia, provient d'un tiers sans mention du contraire.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20080815 xine lib Vulnérabilités Diverses
20080811 Ubuntu mise à jour pour xine lib
20080806 Gentoo mise à jour pour xine lib
20080523 Debian mise à jour pour xine lib
20080501 Fedora mise à jour pour xine lib
20080417 xine lib NSF Demuxer Vulnérabilité de Dépassement de Tampon
20080415 xine lib Speex Header Processing Vulnérabilité
20080401 Debian mise à jour pour xine lib
20080321 xine lib Multiple Débordements d'Entier Vulnérabilités
20080319 xine lib sdpplin parse Array Indexing Vulnérabilité
20080227 Gentoo mise à jour pour xine lib
20080218 Mandriva mise à jour pour xine lib
20080213 Fedora mise à jour pour xine lib
20080205 xine lib FLAC Processing Vulnérabilité de Corruption de Mémoire
20080129 Fedora mise à jour pour xine lib
20080128 Gentoo mise à jour pour xine lib
20080117 Fedora mise à jour pour xine lib
20080109 xine lib rmff dump cont Vulnérabilités de Dépassement de Tampon
20070727 Form Processor Pro base path Cross Site Scripting
20070416 Gentoo mise à jour pour xine lib
20070313 xine lib Deux Vulnérabilités de Dépassement de Tampon
20070313 Ubuntu mise à jour pour xine lib
20070313 Mandriva mise à jour pour xine lib
20070129 Mandriva mise à jour pour xine ui
20070124 Gentoo mise à jour pour xine ui
20061229 Debian mise à jour pour xine lib
20061211 Gentoo mise à jour pour xine lib
20061206 Mandriva mise à jour pour xine lib
20061205 xine lib libreal et libmms Vulnérabilités de Dépassement de Tampon
20061205 Ubuntu mise à jour pour xine lib
20061121 Debian mise à jour pour xine lib
20060929 Mandriva mise à jour pour xine lib
20060914 Gentoo mise à jour pour xine lib
20060721 Gentoo mise à jour pour xine lib
20060713 Mandriva mise à jour pour xine lib
20060707 Debian mise à jour pour xine lib
20060626 Mandriva mise à jour pour xine lib
20060609 Ubuntu mise à jour pour xine lib
20060531 xine lib HTTP Response Heap Corruption Faille
20060511 Mandriva mise à jour pour xine ui
20060508 2005 Comments Script Vulnérabilités Diverses
20060427 xine lib MPEG Stream Handling Vulnérabilité de Dépassement de Tampon
20060427 Gentoo mise à jour pour xine ui
20060427 Gentoo mise à jour pour xine lib
20060419 Xine Playlist File Path Vulnérabilité de Format de Chaines
20060111 Gentoo mise à jour pour xine lib ffmpeg
20051219 Ubuntu mise à jour pour xine lib
20051012 Mandriva mise à jour pour xine lib
20051012 Debian mise à jour pour xine lib
20051010_xine lib_CDDB_Client__Vulnérabilité_de_Format_de_Chaines
20051010 xine lib CDDB Client Vulnérabilité de Format de Chaines
20050602 Mandriva mise à jour pour xine lib
20050509 Ubuntu mise à jour pour xine lib
20050427 Gentoo mise à jour pour xine lib
20050422 xine lib RTSP et MMS Streams Vulnérabilités de Dépassement de Tampon
20050307 Form Mail Script script root Vulnérabilité d'Inclusion de Fichier
20050126 Debian mise à jour pour xine lib
20041217 xine lib open aiff file Vulnérabilité de Dépassement de Tampon
20041216 xine lib PNM et Real RTSP Client Vulnérabilités
20040920 xine lib Vulnérabilités de Dépassement de Tampon
20040810 Xine vcd Input Source Vulnérabilité de Dépassement de Tampon
20040422 Xine Playlists can Overwrite Arbitrary Files
20040407 Debian mise à jour pour xine ui
20040324 Xine Création Non Sécurisée de Fichiers Temporaires Vulnérabilité
 
Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés
formation sécurité informatiqe