Уязвимость в mpg123
Davide Del Vecchio сообщает об уязвимости в популярном в мире открытых систем консольном плейере аудиофайлов mpg123. Mpg123 позволяет проигрывать аудиофайлы, как локальные (имя в качестве парамметра, либо стандартный вход, если в качестве имени указан символ «-»), так и удаленные (в качестве имени файла задаётся URL). Автор уязвимости обнаружил, что существует возможность сформировать такой mp3-файл, при попытке проигрывания которого из-за некорректной обработки заголовка может возникнуть ситуация выполнения произвольного кода от имени пользователя, запустившего mpg123. Автор плейера никак не отреагировал на сообщение об ошибке, однако один из разработчиков Debian, Daniel Kobras, выпустил соответствующий патч. Как видно из кода патча, уязвимость существует в коде layer2.c. Уязвимость присутствует в версиях mpg123-0.59r и, возможно, mpg123-0.59s. Проверялась в ОС Linux Debian SID и OpenBSD.
Постоянная ссылка к новости: http://www.nixp.ru/news/4459.html. fly4life по материалам uinc.ru.
Последние комментарии
-
fhunter, 29 ноября в 2:09 →
Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt?
6
-
DimitriuS, 6 сентября в 10:37 →
Перекличка
14
-
Иванн, 9 апреля в 8:31 →
Ассоциация РАСПО провела первое учредительное собрание
1
-
Kiri11.ADV1, 7 марта 2021 года в 12:01 →
Логи catalina.out в TomCat 9 в формате JSON
1
-
fhunter, 26 февраля 2021 года в 20:45 →
A, MX, PTR — Настройка и проверка извне. Как ?
2
ecobeing.ru
