Összefoglaló
A xine-lib néhány sebezhetőségét fedezték fel, melyeket támadók a felhasználók rendszerének feltörésére használhatnak ki.
Leírás
A xine-lib néhány sebezhetőségét fedezték fel, melyeket támadók a felhasználók rendszerének feltörésére használhatnak ki.
A sebezhetőségeket az input/libreal/rmff.c “rmff_dump_cont()”, “rmff_dump_mdpr()” és “rmff_dump_header()” függvényeinek határhibái okozzák, az SDP attribútumok feldolgozásakor. Ezt halom túlcsordulás okozására lehet kihasználni, kiülönlegesen kialakított “Title”, “Author”, Copyright”, “Abstract”, “StreamName”, “mimetype” and “OpaqueData” SDP adatokat tartalmazó, RTSP adatfolyam (stream) segítségével.
A sikeres kiaknázás lehetővé teheti tetszőleges kód végrehajtását.
A sebezhetőséget az 1.1.9. verziónál ismerték el. Más verziók is érintettek lehetnek.
Megoldás
Ne kapcsolódjon nem megbízható streaming szerverekhez!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 28384
Egyéb referencia: aluigi.altervista.org
CVE-2008-0225 - NVD CVE-2008-0225
CVE-2008-0238 - NVD CVE-2008-0238