VideoLAN VLC media player资源管理错误漏洞

CVE编号

CVE-2019-14778

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-08-30

漏洞描述

VideoLAN VLC media player是法国VideoLAN组织的一款免费、开源的跨平台多媒体播放器（也是一个多媒体框架）。该产品支持播放多种介质（文件、光盘等）、多种音视频格式（WMV,MP3等）等。VideoLAN VLC media player 3.0.7.1版本中的demux/mkv/virtual_segment.cpp的The mkv::virtual_segment_c::seek存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源（如内存、磁盘空间、文件等）的管理不当。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://www.videolan.org/security/sb-vlc308.html

参考链接
http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00036.html
http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00046.html
https://seclists.org/bugtraq/2019/Aug/36
https://security.gentoo.org/glsa/201909-02
https://usn.ubuntu.com/4131-1/
https://www.debian.org/security/2019/dsa-4504
https://www.videolan.org/security/sb-vlc308.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	videolan	vlc_media_player	3.0.7.1	-
	运行在以下环境
	系统	alpine_3.10	vlc	*		Up to (excluding) 3.0.8-r0
	运行在以下环境
	系统	debian_10	vlc	*		Up to (excluding) 3.0.8-0+deb10u1
	运行在以下环境
	系统	debian_9	vlc	*		Up to (excluding) 3.0.8-0+deb9u1
	运行在以下环境
	系统	opensuse_Leap_15.1	vlc	*		Up to (excluding) 3.0.9.2-lp151.6.6.1
	运行在以下环境
	系统	ubuntu_18.04	vlc	*		Up to (excluding) 3.0.8-0ubuntu18.04.1

攻击路径本地
攻击复杂度复杂
权限要求无需权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 100

CWE-ID 漏洞类型 CWE-416 释放后使用

正文

VideoLAN VLC media player资源管理错误漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Security Network Protection GSKit信息泄露漏洞

PHP ‘serialize_function_call()’函数远程代码执行漏洞

PHP远程代码执行漏洞（CNVD-2015-06226）

OpenSSH 至 7.1p1 packet.c ssh_packet_read_poll2 内存破坏漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]