Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • Toutes les versions 1-alpha ;
  • toutes les versions 1-beta ;
  • toutes les versions 1-rc.

Les versions antérieures à la versions 1-alpha0 ainsi que les version 1.0 et ultérieures sont non affectées.

Résumé

Une vulnérabilité dans le démultiplexeur AIFF de Xine permet l'exécution de code arbitraire à distance.

Description

AIFF (Audio Interchange File Format) est un format de fichier reconnu par la bibliothèque xine-lib.

Une vulnérabilité est présente dans la routine de traitement des en-têtes de fichiers au format AIFF dans xine. Un utilisateur mal intentionné peut provoquer l'exécution de code arbitraire à distance, par le biais d'un fichier ou d'un site web habilement constitués.

L'exploitation de cette vulnérabilité ne se limite pas aux fichiers AIFF, car le démultiplexeur AIFF peut être utilisé pour traiter des fichiers qui ne sont pas au format AIFF.

Solution

Se référer au site de Xine pour l'obtention des correctifs (cf. section Documentation).

Documentation