Risque
Exécution de code arbitraire.
Systèmes affectés
mpg123 version 0.59r et versions antérieures.Résumé
Une vulnérabilité dans mpg123 permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur la plate-forme vulnérable.
Description
mpg123 est un lecteur de fichiers MPEG Layer 1, 2 et 3 pour les systèmes UNIX.Une vulnérabilité dans mpg123 permet à un utilisateur mal intentionné, via un fichier habilement constitué, d'exécuter du code arbitraire avec les privilèges de l'utilisateur lisant le fichier.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet du lecteur mpg123 :
http://www.mpg123.de
- Bulletin de sécurité de Davide Del Vecchio Adv#10 :
http://www.alighieri.org/advisories/advisory-mpg123.txt
- Bulletin de sécurité FreeBSD pour mpg123 du 14 septembre 2004 :
http://www.vuxml.org/freebsd/
- Mise à jour de sécurité des paquetages NetBSD mpg123, mpg123-esound et mpg123-nas :
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/audio/mpg123/README.html
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/audio/mpg123-esound/README.html
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/audio/mpg123-nas/README.html
- Bulletin de sécurité Gentoo GLSA-200409-20.xml du 16 septembre 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200409-20.xml
- Bulletin de sécurité Mandrake MDKSA-2004:100 du 22 septembre 2004 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:100
- Bulletin de sécurité debian DSA-564 du 13 octobre 2004 :
http://www.debian.org/security/2004/dsa-564
- Référence CVE CAN-2004-0805 :
https://www.cve.org/CVERecord?id=CAN-2004-0805
