1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200604-16 / xine-lib |
| Date de Parution | 26 Avril 2006 |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| media-libs/xine-lib | < 1.1.2_pre20060328-r1 | >= 1.1.2_pre20060328-r1 | Toutes |
3. Synopsis
xine-lib contient une vulnérabilité de type dépassement de buffer pouvant être exploitée pour entraîner l'exécution d'une portion de code arbitraire.
4. Informations
xine-lib est la librairie sur laquelle s'appuie xine. xine est un player multimedia libre qui permet de jouer CDs, DVDs, et VCDs, ainsi que que les principaux formats de fichiers multimedia.
5. Description
Federico L. Bossi Bonin a découvert que xine-lib ne valide pas correctement certaines entrées lors du traitement de flux MPEG, ce qui peut entraîner la copie de données dans un espace de taille insuffisante.
6. Impact de la faille
En incitant un utilisateur à jouer un flux MPEG spécifiquement forgé, un utilisateur mal intentionné peut entraîner l'exécution d'une portion de code arbitraire avec les privilèges utilisateur de sa victime.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Il est recommandé aux utilisateurs de xine-lib de mettre à jour ce dernier:
# emerge --sync # emerge --ask --oneshot --verbose ">=media-libs/xine-lib-1.1.2_pre20060328-r1"
9. Références