Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Streamripper |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricant afectat | GNU/Linux |
Software afectado | Streamripper < 1.63.5 |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en Streamripper 1.63.5. Las vulnerabilidades son descritas a continuación: - CVE-2007-4337: Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer en Streamripper 1.62.2. La vulnerabilidad reside en un error en la comprobación de límites de la entrada del usuario antes de almacenarla en búferes de tamaño insuficiente en la función "httplib_parse_sc_header" en "lib/http.c". Un atacante remoto podría ejecutar código remoto y causar una denegación de servicio mediante cabeceras HTTP muy largas. - CVE-2008-4829: Se han descubierto múltiples vulnerabilidades de tipo desbordamiento de búfer en Streamripper 1.63.5. Las vulnerabilidades residen en diversas funciones en "lib/http.c". Un atacante remoto podría ejecutar código arbitrario mediante una cabecera HTTP que comience por "Zwitterion v"; una lista de reproducción ".pls" con una entrada muy larga o mediante una lista de reproducción m3u con una entrada "File" larga. |
|
Solución |
|
Actualización de software Debian (DSA-1683-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27.orig.tar.gz http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1.diff.gz http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1.dsc alpha (DEC Alpha) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_alpha.deb amd64 (AMD x86_64 (AMD64)) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_amd64.deb arm (ARM) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_arm.deb hppa (HP PA RISC) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_hppa.deb i386 (Intel ia32) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_i386.deb ia64 (Intel ia64) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_ia64.deb mips (MIPS (Big Endian)) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_mips.deb mipsel (MIPS (Little Endian)) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_mipsel.deb powerpc (PowerPC) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_powerpc.deb s390 (IBM S/390) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_s390.deb sparc (Sun SPARC/UltraSPARC) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_sparc.deb |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2007-4337 CVE-2008-4829 |
BID |
25278 32356 |
Recursos adicionales |
|
Debian Security Advisory (DSA-1683-1) http://lists.debian.org/debian-security-announce/2008/msg00275.html |
Histórico de versiones |
||
Versión | Comentario | Data |
1.0 | Aviso emitido | 2008-12-09 |