Debian セキュリティ勧告
DSA-411-1 mpg321 -- フォーマット文字列バグ
- 報告日時:
- 2004-01-05
- 影響を受けるパッケージ:
- mpg321
- 危険性:
- あり
- 参考セキュリティデータベース:
- (SecurityFocus の) Bugtraq データベース: BugTraq ID 9364.
Mitre の CVE 辞書: CVE-2003-0969. - 詳細:
-
コマンドライン mp3 プレーヤの mpg321 に、ユーザが与えた文字列が安全性のチェックなしに printf(3) に渡ってしまうという欠陥が発見されました。この欠陥を使って、 リモートの攻撃者がメモリを上書きしたり、任意コマンドを実行したりする恐れがあります。 この欠陥を攻撃するには、悪意を持って作成された mp3 ファイル (HTTP ストリーミングを含む) をクライアント側で mpg321 を使って再生させる必要があります。
安定版 (stable) ディストリビューション (woody) では、この問題はバージョン 0.2.10.2 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 0.2.10.3 で修正されています。
直ちに mpg321 パッケージをアップグレードすることをお勧めします。
- 修正:
-
Debian GNU/Linux 3.0 (woody)
- ソース:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2.dsc
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2.tar.gz
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。