Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- MPlayer 1.0pre1-pre3try2 ;
- xine-lib versions 1-beta1 à 1-rc3c.
Résumé
Plusieurs vulnérabilités ont été découvertes dans MPlayer et Xine permettant à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
MPlayer et Xine sont des lecteurs multimedia open-source. RTSP (Real-Time Streaming Protocol) est un protocole de gestion de flux multimedia utilisé notamment pour communiquer avec les serveurs RealNetworks.
MPlayer et Xine partagent le même code source quant à la gestion du protocole RTSP.
Plusieurs vulnérabilités ont été découvertes dans le code gérant le procotole RTSP permettant à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Solution
- Mettre à jour MPlayer en version 1.0pre4. Site Internet de téléchargement de MPlayer :
http://www.mplayerhq.hu/homepage/dload.html
- Mettre à jour xine-lib en version 1-rc4. Site Internet de téléchargement de xine-lib :
http://xinehq.de/index.php/releases
Documentation
- Avis de sécurité MPlayer du 28 avril 2004 :
http://www.mplayerhq.hu/homepage/design7/news.html
- Avis de sécurité Xine XSA-2004-3 du 25 avril 2004 :
http://xinehq.de/index.php/security/XSA-2004-3
- Avis de sécurité SUSE SuSE-SA:2004:012 du 14 mai 2004 :
http://www.suse.com/de/security/2004_12_mc.html
- Avis de sécurité Gentoo GLSA 200405-24 du 01 juin 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200405-24.xml
- Avis de sécurité pour le paquetage OpenBSD mplayer du 06 mai 2004 :
http://www.vuxml.org/openbsd/
- Mise à jour de sécurité des paquetages NetBSD mplayer et xine-lib :
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/multimedia/mplayer/README.html
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/multimedia/xine-lib/README.html
- Référence CVE CAN-2004-0433 :
https://www.cve.org/CVERecord?id=CAN-2004-0433