メディアプレーヤライブラリ Xine に、ローカルから攻撃可能な複数の問題が 発見されました。これらの欠陥を悪意を持ったコンテンツ表示で攻撃すること により、サービス拒否攻撃や任意コードの実行が可能です。 The Common Vulnerabilities and Exposures project は以下の問題を認識し ています。
DMO_VideoDecoder_Open 関数が memcpy 時に biSize をセットしていない ため、ユーザの助けによりリモートの攻撃者がバッファオーバフローを起 こし、任意のコードの実行が可能です (この問題は旧安定版のみ)。
sdpplin_parse 関数の配列添字のバグにより、リモートの RTSP サーバか ら巨大な streamid SD パラメータを用いて任意のコードが実行可能です。
libmpdemux/demux_audio.c 関数の配列添字のバグにより、リモートの RTSP サーバから細工した FLAC タグを用いてバッファオーバフローを起こ し、任意のコードが実行可能です (この問題は安定版のみ)。
Matroska demuxer にバッファオーバフローがあり、不正なフレームサイズ の Matroska ファイルを用いてリモートの攻撃者がサービス拒否攻撃 (クラ ッシュ) を引き起こすことができ、さらに任意のコードが実行できる可能性 があります。
旧安定版 (oldstable) ディストリビューション (sarge) では、これらの問題は バージョン 1.0.1-1sarge7 で修正されています。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 1.1.2+dfsg-6 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 1.1.11-1 で修正されています。
直ぐに xine-lib パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。