int(607)

Boletines de Vulnerabilidades

Heap overflow en mpg123

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricant afectat GNU/Linux
Software afectado mpg123 0.59r
mpg123 0.59s

Descripción
Se ha descubierto una vulnerabilidad de desbordamiento de búfer (en la zona de heap) en el reproductor mp3 mpg123. La explotación de esta vulnerabilidad podría permitir a un atacante remoto la ejecución de código con los privilegios del usuario que ejecuta mpg123.

Solución


Actualización de software

Linux Debian

Debian 3.0
Source
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2.dsc
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2.diff.gz
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r.orig.tar.gz
Alpha
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_alpha.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_alpha.deb
ARM
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_arm.deb
Intel IA-32
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_i386.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_i386.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-nas_0.59r-13woody2_i386.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-oss-3dnow_0.59r-13woody2_i386.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-oss-i486_0.59r-13woody2_i386.deb
Motorola 680x0
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_m68k.deb
PowerPC
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_powerpc.deb
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123-esd_0.59r-13woody2_powerpc.deb
Sun Sparc
http://security.debian.org/pool/updates/non-free/m/mpg123/mpg123_0.59r-13woody2_sparc.deb

Mandrake Linux

Mandrakelinux 9.2
x86
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/9.2/RPMS/mpg123-0.59r-21.1.92mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/9.2/SRPMS/mpg123-0.59r-21.1.92mdk.src.rpm
AMD64
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/amd64/9.2/RPMS/mpg123-0.59r-21.1.92mdk.amd64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/amd64/9.2/SRPMS/mpg123-0.59r-21.1.92mdk.src.rpm

Mandrakelinux 10.0
x86
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/RPMS/mpg123-0.59r-21.1.100mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/10.0/SRPMS/mpg123-0.59r-21.1.100mdk.src.rpm
AMD64
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/amd64/10.0/RPMS/mpg123-0.59r-21.1.100mdk.amd64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/amd64/10.0/SRPMS/mpg123-0.59r-21.1.100mdk.src.rpm

Corporate Server 2.1
x86
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/2.1/RPMS/mpg123-0.59r-21.1.C21mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/2.1/SRPMS/mpg123-0.59r-21.1.C21mdk.src.rpm
X86_64
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/corporate/2.1/RPMS/mpg123-0.59r-21.1.C21mdk.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/corporate/2.1/SRPMS/mpg123-0.59r-21.1.C21mdk.src.rpm

Identificadores estándar
Propiedad Valor
CVE CAN-2003-0865
BID

Recursos adicionales
Debian Security Advisory DSA 435-1
http://lists.debian.org/debian-security-announce/debian-security-announce-2004/msg00030.html

Mandrakesoft Security Advisory MDKSA-2004:100
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:100

Histórico de versiones
Versión Comentario Data
1.0 Aviso emitido 2004-02-10
1.1 Aviso emitido por Mandrake (MDKSA-2004:100) 2004-09-23
Ministerio de Defensa
CNI
CCN
CCN-CERT