GLSA-201203-14 : Audacious 外掛程式：使用者協助的任意程式碼執行

medium Nessus Plugin ID 58379

語系：

概要

遠端 Gentoo 主機缺少一個或多個與安全性相關的修補程式。

說明

遠端主機受到 GLSA-201203-14 中所述的弱點影響 (Audacious 外掛程式：使用者協助的任意程式碼執行)

在 Audacious 外掛程式中發現多個弱點：
load_wav.cpp 中「CSoundFile: : ReadWav()」函式包含的整數溢位弱點可造成堆積型緩衝區溢位 (CVE-2011-2911)。
load_s3m.cpp 中「CSoundFile: : ReadS3M()」函式包含的多個邊界錯誤可導致堆疊型緩衝區溢位 (CVE-2011-2912)。
load_ams.cpp 中「CSoundFile: : ReadAMS()」函式包含的差一錯誤可導致記憶體損毀 (CVE-2011-2913)。
load_dms.cpp 中「CSoundFile: : ReadDSM()」函式包含的差一錯誤可導致記憶體損毀 (CVE-2011-2914)。
load_ams.cpp 中「CSoundFile: : ReadAMS2()」函式包含的差一錯誤可導致記憶體損毀 (CVE-2011-2915)。
影響：

遠端攻擊者可能引誘使用者開啟特製的媒體檔案，並可能藉此執行任意程式碼，或引發拒絕服務情形。
因應措施：

目前尚無已知的因應措施。

解決方案

所有 Audacious Plugins 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=media-plugins/audacious-plugins-3.1'

另請參閱

https://security.gentoo.org/glsa/201203-14

Plugin 詳細資訊

嚴重性: Medium

ID: 58379

檔案名稱: gentoo_GLSA-201203-14.nasl

版本: 1.9

類型: local

系列: Gentoo Local Security Checks

已發布: 2012/3/19

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:gentoo:linux:audacious-plugins, cpe:/o:gentoo:linux

必要的 KB 項目: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2012/3/16

參考資訊

CVE: CVE-2011-2911, CVE-2011-2912, CVE-2011-2913, CVE-2011-2914, CVE-2011-2915

BID: 48979

GLSA: 201203-14