Debian セキュリティ勧告
DSA-826-1 helix-player -- 複数の脆弱性
- 報告日時:
- 2005-09-29
- 影響を受けるパッケージ:
- helix-player
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 316276, バグ 330364.
Mitre の CVE 辞書: CVE-2005-1766, CVE-2005-2710. - 詳細:
-
helix-player メディアプレーヤに複数のセキュリティ脆弱性が確認されています。 攻撃対象者のマシン上で、 特別に細工したネットワークリソースを経由したコードの実行を攻撃者に許す可能性があります。
- CAN-2005-1766
RealText パーサにバッファオーバフローがあり、特別に細工した、長大な RealText 文字列が組み込まれたリアルメディアファイルを経由し、 リモートからのコードの実行を許す可能性があります。
- CAN-2005-2710
Real HelixPlayer および RealPlayer 10 にフォーマット文字列脆弱性があり、RealPix (.rp) や RealText (.rt) ファイル中の画像を操作する属性を経由して、 リモートの攻撃者に任意のコードの実行を許します。
安定版 (stable) ディストリビューション (sarge) では、この問題はバージョン 1.0.4-1sarge1 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.0.6-1 で修正されています。
直ちに helix-player パッケージをアップグレードすることを勧めます。
helix-player は i386 と powerpc アーキテクチャ向けにしか用意されていません。
- CAN-2005-1766
- 修正:
-
Debian GNU/Linux 3.1 (sarge)
- ソース:
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1.dsc
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1.diff.gz
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1.diff.gz
- Intel IA-32:
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1_i386.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1_powerpc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。