Porada dotycząca bezpieczeństwa Debiana

DSA-915-1 helix-player -- przepełnienie buforu

Data Zgłoszenia:

02.12.2005

Narażone Pakiety:

helix-player

Podatny:

Tak

Odnośniki do baz danych na temat bezpieczeństwa:

Baza danych Bugtraq (SecurityFocus): Nr BugTraq 15381.
W słowniku CVE Mitre-a CVE-2005-2629.

Więcej informacji:

Pełne przepełnienie buforu zostało odkryte w helix-player, odtwarzaczu audio i wideo helix. Błąd ten mógłby zostać użyty przez zewnętrznego atakującego do wykonainia dowolnego kodu na komputerze ofiary poprzez umiejętnie przekształcony zasób sieci.

Stara stabilna dystrybucja (woody) nie zawiera pakietu helix-player.

Dla stabilnej dystrybucji (sarge) błędy te zostały poprawione w wersji 1.0.4-1sarge2.

Dla niestabilnej dystrybucji (sid) błędy te zostały poprawione w wersji 1.0.6-1.

Rekomendujemy, byś uaktualnił swój pakiet helix-player.

Naprawiony w:

Debian GNU/Linux 3.1 (sarge)

Źródło:: http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge2.dsc; http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge2.diff.gz; http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4.orig.tar.gz
Intel IA-32:: http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge2_i386.deb
PowerPC:: http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge2_powerpc.deb

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.