S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 28 avril 2005
N° CERTA-2005-AVI-157
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Xine

Gestion du document

Référence CERTA-2005-AVI-157
Titre Vulnérabilité dans Xine
Date de la première version 28 avril 2005
Date de la dernière version 03 juin 2005
Source(s) Bulletin de sécurité XSA-2004-8 de Xine
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Toutes les versions en 0.9 supérieures ou égales à la 0.9.9;
  • toutes les versions 1-alpha ;
  • toutes les versions 1-beta ;
  • toutes les versions 1-rc ;
  • la version 1.0.

Les versions antérieures à la version 0.9.9 et les versions 1.0.1 et supérieures ne sont pas affectées.

Résumé

Une vulnérabilité dans le client de lecture de flux MMS et RTSP permet l'exécution de code arbitraire à distance.

Description

MMS (Microsoft Multimedia Server) et RTSP (Real Time Streaming Protocol) sont deux formats de flux multimedia reconnus par la bibliothèque xine-lib. Une vulnérabilité dans le client de lecture de ces flux permet à un individu mal intentionné d'exécuter du code arbitraire à distance par le biais d'un serveur proposant des flux habilement constitués.

Solution

Se référer au site de Xine pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 28 avril 2005
    version initiale ;
    le 03 juin 2005
    ajout des bulletins de sécurités Mandriva et Novell.