xine-Mediaplayer verschluckt sich an CDDB-Einträgen
Der weit verbreitete Unix-Mediaplayer xine ist anfällig für das Einschmuggeln und Ausführen von fremdem Code beim Verarbeiten von CD-Datenbankeinträgen aus der CDDB.
Der weit verbreitete Unix-Mediaplayer xine ist anfällig für das Einschmuggeln und Ausführen von fremden Code beim Verarbeiten von CD-Datenbankeinträgen aus der Online-CD-Datenbank CDDB. Es handelt sich bei dem Fehler um eine so genannte Format-String-Schwachstelle.
Der Fehler kann über manipulierte CDDB-Einträge ausgenutzt werden. Da jedermann CDDB-Einträge verändern kann, könnte ein Angreifer einen automatisierten Massenangriff starten, indem er die Titellisten von populären CDs entsprechend manipuliert.
Betroffen sind mindestens die xine-Versionen 0.9.13, 1.0, 1.0.1, 1.0.2 und 1.1.0. Betroffene Nutzer sollten ihr xine-Paket auf Version 1.0.3 oder neuer aktualisieren oder aber die CDDB-Lookups abstellen.
Siehe dazu auch: (dmk)
- Security Advisory von den xine-Entwicklern
- Fehlermeldung auf Full Disclosure von Ulf Harnhammar (Debian Security Audit Project)
