正文

Mega-Nerd libsndfile CAF文件处理堆溢出漏洞

admin
admin V管理员 /0 评论 /10 阅读
0105
此篇文章发布距今已超过1208天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Mega-Nerd libsndfile CAF文件处理堆溢出漏洞

  • CNNVD编号:CNNVD-200903-080
    • <!--
  • 危害等级: 超危-->
  • 危害等级: 超危
  • CVE编号: CVE-2009-0186
  • 漏洞类型: 数字错误
  • 发布时间: 2009-03-05
  • 威胁类型: 远程
  • 更新时间: 2009-04-28
  • 厂        商: mega-nerd
  • 漏洞来源: Alin Rad Pop

漏洞简介

libsndfile是软件开发者Erik de Castro Lopo所研发的一个通过标准接口读写AIFF、AU和WAV等格式的音频文件的C库。

libsndfile.dll库在解析CAF描述块时存在整数溢出,最终可能导致堆溢出。如果用户受骗使用链接到该库的播放器打开了特制的CAF音频文件的话,就可以触发这个溢出,导致执行任意代码。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

http://www.mega-nerd.com/libsndfile/ChangeLog

参考网址

来源: VUPEN

名称: ADV-2009-0585

链接: http://www.vupen.com/english/advisories/2009/0585

来源: VUPEN

名称: ADV-2009-0584

链接: http://www.vupen.com/english/advisories/2009/0584

来源: UBUNTU

名称: USN-749-1

链接: http://www.ubuntu.com/usn/USN-749-1

来源: BID

名称: 33963

链接: http://www.securityfocus.com/bid/33963

来源: BUGTRAQ

名称: 20090303 Secunia Research: libsndfile CAF Processing Integer Overflow Vulnerability

链接: http://www.securityfocus.com/archive/1/archive/1/501413/100/0/threaded

来源: BUGTRAQ

名称: 20090303 Secunia Research: Winamp CAF Processing Integer Overflow Vulnerability

链接: http://www.securityfocus.com/archive/1/archive/1/501399/100/0/threaded

来源: www.mega-nerd.com

链接: http://www.mega-nerd.com/libsndfile/NEWS

来源: DEBIAN

名称: DSA-1742

链接: http://www.debian.org/security/2009/dsa-1742

来源: GENTOO

名称: GLSA-200904-16

链接: http://security.gentoo.org/glsa/glsa-200904-16.xml

来源: MISC

链接: http://secunia.com/secunia_research/2009-8/

来源: MISC

链接: http://secunia.com/secunia_research/2009-7/

来源: SECUNIA

名称: 34791

链接: http://secunia.com/advisories/34791

来源: SECUNIA

名称: 34642

链接: http://secunia.com/advisories/34642

来源: SECUNIA

名称: 34526

链接: http://secunia.com/advisories/34526

来源: SECUNIA

名称: 34316

链接: http://secunia.com/advisories/34316

来源: SECUNIA

名称: 33981

链接: http://secunia.com/advisories/33981

来源: SECUNIA

名称: 33980

链接: http://secunia.com/advisories/33980

来源: SUSE

名称: SUSE-SR:2009:008

链接: http://lists.opensuse.org/opensuse-security-announce/2009-04/msg00003.html

受影响实体

  • Mega-Nerd Libsndfile:1.0.18  
    <!--
    2000-1-1
    -->
  • Mega-Nerd Libsndfile:0.0.8  
    <!--
    2000-1-1
    -->
  • Mega-Nerd Libsndfile:0.0.28  
    <!--
    2000-1-1
    -->
  • Mega-Nerd Libsndfile:1.0.0:Rc1  
    <!--
    2000-1-1
    -->
  • Mega-Nerd Libsndfile:1.0.0:Rc6  
    <!--
    2000-1-1
    -->

补丁

    暂无