Vulnerability Bulletins |
Múltiples vulnerabilidades en Streamripper |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Experto |
| Required attacker level | Acceso remoto con cuenta |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | Streamripper < 1.63.5 |
Description |
|
|
Se han descubierto múltiples vulnerabilidades en Streamripper 1.63.5. Las vulnerabilidades son descritas a continuación: - CVE-2007-4337: Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer en Streamripper 1.62.2. La vulnerabilidad reside en un error en la comprobación de límites de la entrada del usuario antes de almacenarla en búferes de tamaño insuficiente en la función "httplib_parse_sc_header" en "lib/http.c". Un atacante remoto podría ejecutar código remoto y causar una denegación de servicio mediante cabeceras HTTP muy largas. - CVE-2008-4829: Se han descubierto múltiples vulnerabilidades de tipo desbordamiento de búfer en Streamripper 1.63.5. Las vulnerabilidades residen en diversas funciones en "lib/http.c". Un atacante remoto podría ejecutar código arbitrario mediante una cabecera HTTP que comience por "Zwitterion v"; una lista de reproducción ".pls" con una entrada muy larga o mediante una lista de reproducción m3u con una entrada "File" larga. |
|
Solution |
|
|
Actualización de software Debian (DSA-1683-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27.orig.tar.gz http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1.diff.gz http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1.dsc alpha (DEC Alpha) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_alpha.deb amd64 (AMD x86_64 (AMD64)) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_amd64.deb arm (ARM) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_arm.deb hppa (HP PA RISC) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_hppa.deb i386 (Intel ia32) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_i386.deb ia64 (Intel ia64) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_ia64.deb mips (MIPS (Big Endian)) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_mips.deb mipsel (MIPS (Little Endian)) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_mipsel.deb powerpc (PowerPC) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_powerpc.deb s390 (IBM S/390) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_s390.deb sparc (Sun SPARC/UltraSPARC) http://security.debian.org/pool/updates/main/s/streamripper/streamripper_1.61.27-1+etch1_sparc.deb |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2007-4337 CVE-2008-4829 |
| BID |
25278 32356 |
Other resources |
|
|
Debian Security Advisory (DSA-1683-1) http://lists.debian.org/debian-security-announce/2008/msg00275.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2008-12-09 |