Уязвимость в mpg123
Davide Del Vecchio сообщает об уязвимости в популярном в мире открытых систем консольном плейере аудиофайлов mpg123. Mpg123 позволяет проигрывать аудиофайлы, как локальные (имя в качестве парамметра, либо стандартный вход, если в качестве имени указан символ «-»), так и удаленные (в качестве имени файла задаётся URL). Автор уязвимости обнаружил, что существует возможность сформировать такой mp3-файл, при попытке проигрывания которого из-за некорректной обработки заголовка может возникнуть ситуация выполнения произвольного кода от имени пользователя, запустившего mpg123. Автор плейера никак не отреагировал на сообщение об ошибке, однако один из разработчиков Debian, Daniel Kobras, выпустил соответствующий патч. Как видно из кода патча, уязвимость существует в коде layer2.c. Уязвимость присутствует в версиях mpg123-0.59r и, возможно, mpg123-0.59s. Проверялась в ОС Linux Debian SID и OpenBSD.
Постоянная ссылка к новости: http://www.nixp.ru/news/4459.html. fly4life по материалам uinc.ru.
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1