1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-463 Vulnerabilidad de formato de cadena en el cliente CDDB de xine-lib.

Se reportó una vulnerabilidad en xine-lib, que podria explotarse para comprometer el sistema de un usuario.

  • Fecha de Liberación: 10-Oct-2005
  • Ultima Revisión: 10-Oct-2005
  • Fuente:

    xine security announcement
    XSA-2005-1

  • CVE ID: CAN-2005-2967
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Formato de cadena

Sistemas Afectados

Xine-lib 1.1.0
  1. Descripción

    Ulf Harnhammar reportó una vulnerabilidad en xine-lib, que podria explotarse por personas maliciosas para comprometer el sistema de un usuario.

    • La vulnerabilidad es ocasionada por un error de formato de cadena en "input_cdda.c" cuando se escriben metadatos recuperados de CD desde un servidor CDDB hacia un archivo de cache. Esto podría explotarse para ejecutar código arbitrario dentro del sistema de un usuario cuando éste reproduzca un CD que ocasione la descarga de metadatos maliciosos de CD desde un servidor CDDB.

      Una explotación exitosa requiere que el atacante modifique, por ejemplo, las entradas en el servidor CDDB, engañar al usuario para conectarse al servidor malicioso, o que visite una pagina Web que tenga xine Audio CD MRL (Media Resource Locator).

    La vulnerabilidad fue reportada en las siguientes versiones:

    * Todos las versiones 1-beta.
    * Todas las versiones 1-rc.
    * Todas las versiones mayores a 1.0.2.
    * La versión 1.1.0.
    
  2. Impacto

    Acceso al sistema.

  3. Solución

    Actualizar a la versión 1.0.3a
    http://xinehq.de/index.php/releases

    La vulnerabilidad también fue corregida en la versión CVS.

  4. Apéndices

    Mayor información.

    http://xinehq.de/index.php/security/XSA-2005-1
    http://bugs.gentoo.org/show_bug.cgi?id=107854

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT