S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 25 août 2004
N° CERTA-2004-AVI-277
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de Xine

Gestion du document

Référence CERTA-2004-AVI-277
Titre Vulnérabilité de Xine
Date de la première version25 août 2004
Date de la dernière version25 août 2004
Source(s) Bulletin de sécurité open-security #6 du 08 août 2004
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire

Systèmes affectés

xine-lib versions 1-rc5 et antérieures.

Résumé

Une vulnérabilité de Xine permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur un système vulnérable.

Description

Xine est un lecteur multimédia pour les plates-formes Unix.

Une vulnérabilité de type débordement de mémoire a été découverte dans la gestion des entrées de type "vcd://".

Elle permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire avec les privilèges de l'utilisateur ayant lancé Xine.

Cette vulnérabilité peut-être exploitée par le biais d'un fichier playlist malicieusement construit.

Solution

Se référer au bulletin de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 25 août 2004
    version initiale.