Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- MPlayer 1.0pre1-pre3try2 ;
- xine-lib versions 1-beta1 à 1-rc3c.
Résumé
Plusieurs vulnérabilités ont été découvertes dans MPlayer et Xine permettant à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
MPlayer et Xine sont des lecteurs multimedia open-source. RTSP
(Real-Time Streaming Protocol) est un protocole de gestion de flux
multimedia utilisé notamment pour communiquer avec les serveurs
RealNetworks.
MPlayer et Xine partagent le même code source quant à la gestion du
protocole RTSP.
Plusieurs vulnérabilités ont été découvertes dans le code gérant le
procotole RTSP permettant à un utilisateur mal intentionné d'exécuter du
code arbitraire à distance.
Solution
-
Mettre à jour MPlayer en version 1.0pre4. Site Internet de téléchargement de MPlayer :
http://www.mplayerhq.hu/homepage/dload.html -
Mettre à jour xine-lib en version 1-rc4. Site Internet de téléchargement de xine-lib :
http://xinehq.de/index.php/releases
Documentation
- Avis de sécurité Xine XSA-2004-3 http://xinehq.de/index.php/security/XSA-2004-3
- Avis de sécurité Gentoo GLSA 200405-24 du 01 juin 2004 : http://www.gentoo.org/security/en/glsa/glsa-200405-24.xml
- Avis de sécurité MPlayer du 28 avril 2004 : http://www.mplayerhq.hu/homepage/design7/news.html
- Avis de sécurité SUSE SuSE-SA:2004:012 du 14 mai 2004 : http://www.suse.com/de/security/2004_12_mc.html
- Avis de sécurité pour le paquetage OpenBSD mplayer du 06 mai 2004 : http://www.vuxml.org/openbsd/
- Mise à jour de sécurité des paquetages NetBSD mplayer et xine-lib : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/multimedia/mplayer/README.html
- Mise à jour de sécurité des paquetages NetBSD mplayer et xine-lib : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/multimedia/xine-lib/README.html
