Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 21 avril 2005

N° CERTA-2005-AVI-153

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités de MPlayer

Gestion du document

Référence	CERTA-2005-AVI-153
Titre	Multiples vulnérabilités de MPlayer
Date de la première version	21 avril 2005
Date de la dernière version	12 juillet 2005
Source(s)	Bulletin de sécurité Gentoo
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire

Systèmes affectés

MPlayer versions 1.0pre6 et antérieures.

Description

Deux vulnérabilités de type débordement de mémoire sont présentes dans la lecture des flux MMST et RTSP. En incitant un utilisateur à se connecter à un serveur malicieusement construit, il est possible de réaliser l'exécution de code arbitraire à distance sur un système utilisant un lecteur MPlayer vulnérable.

Solution

La version 1.0pre7 de MPlayer corrige ces vulnérabilités.

Documentation

Bulletin de sécurité Gentoo

http://www.gentoo.org/security/en/glsa/glsa-200504-19.xml

Bulletin de sécurité MPlayer du 16 avril 2005 (#vuln 10) :

http://www.mplayerhq.hu/homepage/design7/news.html#vuln10

Bulletin de sécurité MPlayer du 16 avril 2005 (#vuln 11) :

http://www.mplayerhq.hu/homepage/design7/news.html#vuln11

Bulletin de sécurité Mandriva MDKSA-2005:115 du 11 juillet 2005 :

http://www.mandriva.com/security/advisories?name=MDKSA-2005:115

Site Internet de MPlayer :

http://www.mplayerhq.hu

Gestion détaillée du document

le 21 avril 2005: version initiale.
le 12 juillet 2005: ajout des bulletins de sécurité MPlayer (#vuln 10 et #vuln 11) et du bulletin de sécurité Mandriva MDKSA-2005:115.