Рекомендация Debian по безопасности
DSA-411-1 mpg321 -- уязвимость строки формата
- Дата сообщения:
- 05.01.2004
- Затронутые пакеты:
- mpg321
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 9364.
В каталоге Mitre CVE: CVE-2003-0969. - Более подробная информация:
-
Обнаружена уязвимость в mpg321, программе проигрывания файлов mp3 с интерфейсом командной строки. Введённые пользователем строки передаются функции printf(3) небезопасным образом. Эта уязвимость может использоваться удалённым нападающим для перезаписи содержимого памяти и, возможно, выполнения произвольного кода. Для использования этой уязвимости mpg321 должен проиграть злонамеренный файл mp3 (в том числе в виде потока по протоколу HTTP).
В текущем стабильном дистрибутиве (woody) эта проблема исправлена в версии 0.2.10.2.
В нестабильном дистрибутиве (sid) эта проблема исправлена в версии 0.2.10.3.
Мы рекомендуем вам обновить пакет mpg321.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2.dsc
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2.tar.gz
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mpg321/mpg321_0.2.10.2_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.