S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 août 2008
N° CERTA-2008-AVI-422
Affaire suivie par: CERT-FR
le 19 août 2008

Avis du CERT-FR

Objet: Multiples vulnérabilités dans xine

Gestion du document

Référence CERTA-2008-AVI-422
Titre Multiples vulnérabilités dans xine
Date de la première version 19 août 2008
Date de la dernière version 19 août 2008
Source(s) Journal des changements de xine
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Déni de service à distance.

Systèmes affectés

  • xine versions antérieures à 1.1.15.

Résumé

Plusieurs vulnérabilités de xine permettent de réaliser un déni de service à distance.

Description

xine est un lecteur multimédia pour GNU/Linux et Unix.

Plusieurs vulnérabilités sont présentes dans xine-lib :

  • la première (CVE-2008-3231) concerne la gestion des fichiers au format OGG, une personne malveillante peut réaliser un déni de service à distance par le biais d'un fichier au format OGG spécifiquement conçu ;
  • la seconde est une vulnérabilité de type débordement de pile dans la gestion des informations ID3 de certains fichiers ;
  • la troisième, de type débordement de mémoire, concerne la gestion de fichier au format Real Media.
Toutes ces vulnérabilités peuvent être exploitées à distance par une personne malveillante pour réaliser un déni de service par le biais de fichiers spécifiquement construits.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 19 août 2008
    version initiale.