Bulletin d'alerte Debian
DSA-826-1 helix-player -- Plusieurs vulnérabilités
- Date du rapport :
- 29 septembre 2005
- Paquets concernés :
- helix-player
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 316276, Bogue 330364.
Dans le dictionnaire CVE du Mitre : CVE-2005-1766, CVE-2005-2710. - Plus de précisions :
-
Plusieurs vulnérabilités liées à la sécurité ont été identifiées dans le lecteur multimédia helix-player, qui permettaient à un attaquant d'exécuter du code sur la machine victime via une ressource réseau spécialement conçue.
- CAN-2005-1766
Un dépassement de tampon dans le traitement RealText pouvait permettre l'exécution de code distant grâce à un fichier RealMedia spécialement conçu et doté d'une longue chaîne RealText.
- CAN-2005-2710
Une vulnérabilité de format de chaînes de caractères dans Real HelixPlayer et RealPlayer 10 permettait aux attaquants distants d'exécuter du code arbitraire en utilisant l'attribut de gestion d'image dans un fichier RealPix (.rp) ou RealText (.rt).
Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 1.0.4-1sarge1
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.0.6-1
Nous vous recommandons de mettre à jour votre paquet helix-player.
helix-player n'est disponible que pour les architectures i386 et powerpc.
- CAN-2005-1766
- Corrigé dans :
-
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1.dsc
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1.diff.gz
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1.diff.gz
- Intel IA-32:
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1_i386.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1_powerpc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.