Vulnerability Bulletins |
Vulnerabilidad de desbordamiento de búfer en mplayer |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software |
MPlayer 0.90pre series MPlayer 0.90rc series MPlayer 0.90 MPlayer 0.91 MPlayer 1.0pre1 MPlayer 1.0pre2 MPlayer 1.0pre3 |
Description |
|
|
Se ha descubierto una vulnerabilidad de desbordamiento de búfer (en la zona de heap) en las versiones 0.90pre, 0.90rc, 0.90, 0.90, 0.91, 1.0pre1, 1.0pre2 y 1.0pre3 de mplayer. Si un usuario intenta reproducir un archivo disponible en un host de Internet bajo el control de un usuario malicioso este podría explotar esta vulnerabilidad para ejecutar código remotamente en la máquina de la víctima mediante el envío de una cabecera HTTP "Location" especialmente diseñada. |
|
Solution |
|
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo. Actualización de software MPlayer MPlayer 0.92.1 ftp://ftp1.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.1.tar.bz2 MPlayer 1.0pre3try2 ftp://ftp1.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre3try2.tar.bz2 Mandrake Linux Mandrake Linux 9.2 i386 ftp://ftp.rediris.es/mirror/mandrake/updates/9.2/RPMS/libdha0.1-0.91-8.2.92mdk.i586.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/9.2/RPMS/libpostproc0-0.91-8.2.92mdk.i586.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/9.2/RPMS/libpostproc0-devel-0.91-8.2.92mdk.i586.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/9.2/RPMS/mencoder-0.91-8.2.92mdk.i586.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/9.2/RPMS/mplayer-0.91-8.2.92mdk.i586.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/9.2/RPMS/mplayer-gui-0.91-8.2.92mdk.i586.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/9.2/SRPMS/mplayer-0.91-8.2.92mdk.src.rpm AMD64 ftp://ftp.rediris.es/mirror/mandrake/updates/amd64/9.2/RPMS/lib64postproc0-0.91-8.2.92mdk.amd64.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/amd64/9.2/RPMS/lib64postproc0-devel-0.91-8.2.92mdk.amd64.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/amd64/9.2/RPMS/mencoder-0.91-8.2.92mdk.amd64.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/amd64/9.2/RPMS/mplayer-0.91-8.2.92mdk.amd64.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/amd64/9.2/RPMS/mplayer-gui-0.91-8.2.92mdk.amd64.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/amd64/9.2/SRPMS/mplayer-0.91-8.2.92mdk.src.rpm Mandrakelinux 10.0 i386 ftp://ftp.rediris.es/mirror/mandrake/updates/10.0/RPMS/libdha0.1-1.0-0.pre3.13.100mdk.i586.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/10.0/RPMS/libpostproc0-1.0-0.pre3.13.100mdk.i586.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/10.0/RPMS/libpostproc0-devel-1.0-0.pre3.13.100mdk.i586.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/10.0/RPMS/mencoder-1.0-0.pre3.13.100mdk.i586.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/10.0/RPMS/mplayer-1.0-0.pre3.13.100mdk.i586.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/10.0/RPMS/mplayer-gui-1.0-0.pre3.13.100mdk.i586.rpm ftp://ftp.rediris.es/mirror/mandrake/updates/10.0/SRPMS/mplayer-1.0-0.pre3.13.100mdk.src.rpm |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2004-0386 |
| BID | |
Other resources |
|
|
MPlayer Security Advisory #002 http://www.mplayerhq.hu MandrakeSoft Security Advisory MDKSA-2004:026 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:026 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2004-03-31 |
| 1.1 | Aviso emitido por Mandrake | 2004-04-06 |
| 1.2 | CAN añadido | 2004-05-06 |