Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Описание
Целочисленное переполнение в Free Lossless Audio Codec (FLAC) libFLAC при использовании, например, в Winamp и других продуктах, позволяет злоумышленникам, действующим удаленно, выполнять произвольный код с помощью специально сформированного FLAC-файла, который вызывает некорректное распределение памяти, что приводит к переполнению буфера в динамической памяти. Для эксплуатации уязвимости необходимы активные действия со стороны пользователя.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.winamp.com/
http://www.winamp.com/
Ссылки
IDEFENSE (20071011 Multiple Vendor FLAC Library Multiple Integer Overflow Vulnerabilities): http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=608
http://flac.sourceforge.net/changelog.html#flac_1_2_1
BID (26042): http://www.securityfocus.com/bid/26042
http://bugzilla.redhat.com/show_bug.cgi?id=331991
https://bugzilla.redhat.com/show_bug.cgi?id=332571
http://wiki.rpath.com/wiki/Advisories:rPSA-2007-0243
https://issues.rpath.com/browse/RPL-1873
FEDORA (FEDORA-2007-2596): https://www.redhat.com/archives/fedora-package-announce/2007-November/msg00035.html
GENTOO (GLSA-200711-15): http://security.gentoo.org/glsa/glsa-200711-15.xml
MANDRIVA (MDKSA-2007:214): http://www.mandriva.com/security/advisories?name=MDKSA-2007:214
REDHAT (RHSA-2007:0975): http://www.redhat.com/support/errata/RHSA-2007-0975.html
SUSE (SUSE-SR:2007:022): http://lists.opensuse.org/opensuse-security-announce/2007-10/msg00008.html
UBUNTU (USN-540-1): http://www.ubuntu.com/usn/usn-540-1
FRSIRT (ADV-2007-3483): http://www.frsirt.com/english/advisories/2007/3483
FRSIRT (ADV-2007-3484): http://www.frsirt.com/english/advisories/2007/3484
FRSIRT (ADV-2007-4061): http://www.frsirt.com/english/advisories/2007/4061
SECTRACK (1018815): http://securitytracker.com/id?1018815
XF (flac-media-files-bo(37187)): http://xforce.iss.net/xforce/xfdb/37187
DEBIAN (DSA-1469): http://www.debian.org/security/2008/dsa-1469
http://flac.sourceforge.net/changelog.html#flac_1_2_1
BID (26042): http://www.securityfocus.com/bid/26042
http://bugzilla.redhat.com/show_bug.cgi?id=331991
https://bugzilla.redhat.com/show_bug.cgi?id=332571
http://wiki.rpath.com/wiki/Advisories:rPSA-2007-0243
https://issues.rpath.com/browse/RPL-1873
FEDORA (FEDORA-2007-2596): https://www.redhat.com/archives/fedora-package-announce/2007-November/msg00035.html
GENTOO (GLSA-200711-15): http://security.gentoo.org/glsa/glsa-200711-15.xml
MANDRIVA (MDKSA-2007:214): http://www.mandriva.com/security/advisories?name=MDKSA-2007:214
REDHAT (RHSA-2007:0975): http://www.redhat.com/support/errata/RHSA-2007-0975.html
SUSE (SUSE-SR:2007:022): http://lists.opensuse.org/opensuse-security-announce/2007-10/msg00008.html
UBUNTU (USN-540-1): http://www.ubuntu.com/usn/usn-540-1
FRSIRT (ADV-2007-3483): http://www.frsirt.com/english/advisories/2007/3483
FRSIRT (ADV-2007-3484): http://www.frsirt.com/english/advisories/2007/3484
FRSIRT (ADV-2007-4061): http://www.frsirt.com/english/advisories/2007/4061
SECTRACK (1018815): http://securitytracker.com/id?1018815
XF (flac-media-files-bo(37187)): http://xforce.iss.net/xforce/xfdb/37187
DEBIAN (DSA-1469): http://www.debian.org/security/2008/dsa-1469