Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Mplayer 1.x ;
- xine-lib 1.x.
Résumé
Deux vulnérabilités dans Mplayer et xine-lib permettent à un attaquant distant d'exécuter du code arbitraire ou d'effectuer un déni de service.
Description
Deux vulnérabilités dans Mplayer et xine-lib, dans le fichier DS_VideoDecoder.c, permettent à une personne malintentionnée distante d'exécuter du code arbitraire d'effectuer un déni de service.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Gentoo GLSA-200704-09 du 30 mars 2007 : http://www.gentoo.org/security/en/glsa/glsa-200704-09.xml
- Bulletin de sécurité Gentoo GLSA-200705-21 du 30 mars 2007 : http://www.gentoo.org/security/en/glsa/glsa-200705-21.xml
- Bulletin de sécurité Mandriva MDKSA-2007:055 du 8 mars 2007 : http://www.mandriva.com/security/advisories?name=MDKSA-2007:055
- Bulletin de sécurité Mandriva MDKSA-2007:057 du 8 mars 2007 : http://www.mandriva.com/security/advisories?name=MDKSA-2007:057
- Bulletin de sécurité Mandriva MDKSA-2007:061 du 13 mars 2007 : http://www.mandriva.com/security/advisories?name=MDKSA-2007:061
- Bulletin de sécurité Mandriva MDKSA-2007:062 du 13 mars 2007 : http://www.mandriva.com/security/advisories?name=MDKSA-2007:062
- Bulletin de sécurité Mandriva SuSE SUSE-SR:2007:007 du 20 avril 2007 : http://wwww.novell.com/linux/security/advisories/2007_007_suse.html
- Bulletin de sécurité Ubuntu USN-433-1 du 09 mars 2007 : http://www.ubuntu.com/usn/usn-433-1
- Bulletin de sécurité Ubuntu USN-435-1 du 12 mars 2007 : http://www.ubuntu.com/usn/usn-435-1
- Modification SVN de Mplayer du 11 février 2007 : http://svn.mplayerhq.hu/mplayer/trunk/loader/dmo/DMO_VideoDecoder.c?r1=22019&r2=22204
- Référence CVE CVE-2007-1246 https://www.cve.org/CVERecord?id=CVE-2007-1246