1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200604-15 / xine-ui |
| Date de Parution | 26 Avril 2006 |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| media-video/xine-ui | < 0.99.4-r5 | >= 0.99.4-r5 | Toutes |
3. Synopsis
Plusieurs failles de type "format string" ont été découvertes dans xine-ui. Ces dernières peuvent être exploitées pour entraîner l'exécution d'une portion de code arbitraire.
4. Informations
xine-ui est une interface graphique personnalisable pour xine. xine est un player multimedia libre qui permet de jouer CDs, DVDs, et VCDs, ainsi que que les principaux formats de fichiers multimedia.
5. Description
Ludwig Nussel a découvert que xine-ui utilisait un certain nombre de chaînes de format de façon incorrecte et non sécurisée.
6. Impact de la faille
En construisant d'une façon spécifique un fichier de playlist, un attaquant distant peut exploiter ces failles pour faire exécuter par l'utilisateur de xine-ui une portion de code arbitraire.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Il est recommandé aux utilisateurs de xine-ui de mettre à jour ce dernier:
# emerge --sync # emerge --ask --oneshot --verbose ">=media-video/xine-ui-0.99.4-r5"
9. Références