[security-announce] IA: new mpg123 packages available

Fri Sep 26 12:43:41 MSD 2003

Обнаружена уязвимость в популярной программе mpg123, предназначенной для
воспроизведения звуковых файлов MPEG audio.

Ошибка (переполнение буфера) в программе mpg123 версий 0.59r и pre0.59s
даёт возможность c помощью звукового файла со специальным именем (более
1024 символов) выполнять произвольный бинарный код от имени запустившего
программу пользователя.  Ошибка проявляется только при загрузке звуковых
файлов по протоколу HTTP.  Возможны также прямые атаки на программу со
стороны специально созданного HTTP сервера.

С подробной информацией об уязвимости можно ознакомится по адресу:
http://securityfocus.com/archive/1/338641

Кроме того, обнаружена и устранена утечка памяти при обработке playlists:
http://bugzilla.altlinux.ru/show_bug.cgi?id=2810

Мы рекомендуем пользователям mpg123 обновить пакет до версии, в которой
описанные выше ошибки устранены.

Обновления для дистрибутивов ALT Linux доступны по следующим адресам:

+ Для дистрибутивов ALT Linux Master 2.0 и ALT Linux "Утёс-К":
ftp://updates.altlinux.com/Master/2.0/SRPMS/mpg123-0.59s-alt0.6.src.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/mpg123-0.59s-alt0.6.i586.rpm

+ Для дистрибутива ALT Linux Junior 2.0 и дистрибутивов, выпущенных на его
основе:
ftp://updates.altlinux.com/Junior/2.0/SRPMS/mpg123-0.59s-alt0.6.src.rpm
ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/mpg123-0.59s-alt0.6.i586.rpm

+ Для дистрибутива ALT Linux Master 2.2 и дистрибутивов, выпущенных на его
основе:
ftp://updates.altlinux.com/Master/2.2/SRPMS.updates/mpg123-0.59s-alt0.6.src.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/mpg123-0.59s-alt0.6.i586.rpm

+ Для дистрибутива ALT Linux Junior 2.2 и дистрибутивов, выпущенных на его
основе:
ftp://updates.altlinux.com/Junior/2.2/SRPMS.updates/mpg123-0.59s-alt0.6.src.rpm
ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/mpg123-0.59s-alt0.6.i586.rpm

+ Для пользователей репозитория ALT Linux Sisyphus обновления доступны обычным образом.

Обновление можно проводить с помощью apt-get, как по адресам,
приведённым выше, так и по адресам зеркал, приведённых по адресу
http://www.altlinux.ru/index.php?module=download

-- 
ALT Security Team
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
Url : /pipermail/security-announce/attachments/20030926/57948b6d/attachment-0002.bin