nixp.ru v3.0

25 ноября 2024,
понедельник,
03:25:56 MSK

8 сентября 2004, 13:32

Уязвимость в mpg123

Davide Del Vecchio сообщает об уязвимости в популярном в мире открытых систем консольном плейере аудиофайлов mpg123. Mpg123 позволяет проигрывать аудиофайлы, как локальные (имя в качестве парамметра, либо стандартный вход, если в качестве имени указан символ «-»), так и удаленные (в качестве имени файла задаётся URL). Автор уязвимости обнаружил, что существует возможность сформировать такой mp3-файл, при попытке проигрывания которого из-за некорректной обработки заголовка может возникнуть ситуация выполнения произвольного кода от имени пользователя, запустившего mpg123. Автор плейера никак не отреагировал на сообщение об ошибке, однако один из разработчиков Debian, Daniel Kobras, выпустил соответствующий патч. Как видно из кода патча, уязвимость существует в коде layer2.c. Уязвимость присутствует в версиях mpg123-0.59r и, возможно, mpg123-0.59s. Проверялась в ОС Linux Debian SID и OpenBSD.

Описание >>

Постоянная ссылка к новости: http://www.nixp.ru/news/4459.html. fly4life по материалам uinc.ru.

Пусто
fb twitter vk