Gentoo beseitigt Lücke in Audioplayer mpg123

Das Linux-Distributionsprojekt Gentoo hat neue Pakete für den schlanken Befehlszeilen-Audioplayer mpg123 herausgegeben, in denen eine kritische Sicherheitslücke beseitigt ist. So soll es über einen Heap Overflow im Modul httpdget.c möglich sein, mittels präparierter Links Code einzuschleusen und mit den Rechten des Anwenders auszuführen. Das Opfer muss dazu aber die URL selbst eingeben, was das Risiko eines erfolgreichen Angriffs senkt. Betroffen sind nach Angaben von Gentoo Versionen vor 0.59s-r11. Andere Distributionen dürften ebenfalls betroffen sein, sofern mpg123 in der Paketsammlung enthalten ist.

Für die offizielle Vesion von mpg123 steht noch kein Patch zur Verfügung. mpg123 wurde lange Zeit auch nicht mehr weiterentwickelt und gepflegt. Laut Ankündigung auf der Homepage soll sich dies aber eventuell bald ändern, die Arbeit an Version 0.60 ist wohl schon in vollen Gange. Die neue Version beruht im wesentlichen auf dem Projekt mpg123-thor, das neben einigen Erweiterungen kontinuierlich auch die Sicherheitspatches von Debian in den Player einpflegt.

Siehe dazu auch: (dab)

• mpg123: Heap overflow, Fehlerbericht von Gentoo