Aviso de seguridad de Debian

DSA-826-1 helix-player -- varias vulnerabilidades

Fecha del informe:

29 de sep de 2005

Paquetes afectados:

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 316276, error 330364.
En el diccionario CVE de Mitre: CVE-2005-1766, CVE-2005-2710.

Información adicional:

Se han descubierto varias vulnerabilidades en el reproductor de medios helix-player, que podían permitir que un atacante ejecutase código en la máquina de la víctima mediante recursos de la red manipulados.

CAN-2005-1766
Un desbordamiento de buffer en el analizador RealText podía permitir la ejecución de código remoto mediante un archivo pernicioso de RealMedia con una cadena RealText muy larga.
CAN-2005-2710
Una vulnerabilidad de cadena de formato en Real HelixPlayer y RealPlayer 10 permitía que los atacantes remotos ejecutasen código arbitrario mediante la manipulación de atributos de la imagen en un archivo RealPix (.rp) o RealText (.rt).

Para la distribución estable (sarge) estos problemas se han corregido en la versión 1.0.4-1sarge1

Para la distribución inestable (sid) estos problemas se han corregido en la versión 1.0.6-1

Le recomendamos que actualice el paquete helix-player.

helix-player sólo se distribuye para las arquitecturas i386 y powerpc.

Arreglado en:

Debian GNU/Linux 3.1 (sarge)

Fuentes:: http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1.dsc; http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1.diff.gz; http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4.orig.tar.gz
Intel IA-32:: http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1_i386.deb
PowerPC:: http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1_powerpc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.