Ubuntu 16.04 ESM:mpg123 漏洞 (USN-4806-1)
high Nessus 插件 ID 183531
语言:
简介
远程 Ubuntu 主机缺少一个或多个安全更新。描述
远程 Ubuntu 16.04 ESM 主机上安装的多个程序包受到 USN-4806-1 公告中提及的多个漏洞影响。- 1.25.5 之前的 mpg123 中的 src/libmpg123/getbits.h 中的 getbits 函数中存在基于堆的缓冲区过度读取,远程攻击者可能导致拒绝服务(越界读取)或可能通过特制的 mp3 文件造成未知的其他影响。(CVE-2017-12839)
- 32 位平台上 1.25.5 之前的 mpg123 中 ID3 解析器中的 INT123_parse_new_id3 函数中存在整数溢出,允许远程攻击者通过特制的文件造成拒绝服务,从而触发基于堆的缓冲区溢出。(CVE-2017-12797)
- mpg123 1.24.0 中 src/libmpg123/id3.c 中的 next_text 函数允许远程攻击者通过特制的 mp3 文件造成拒绝服务(缓冲区过度读取)。(CVE-2017-9545)
- 1.25.1 及之前的 mpg123 中的 libmpg123/layer3.c 中的 III_i_stereo 函数允许远程攻击者通过在 block_type != 2 的代码中错误处理的特制音频文件造成拒绝服务(缓冲区过度读取和应用程序崩溃)案例,这是与 CVE-2017-9870 类似的问题。(CVE-2017-11126)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 libmpg123-0、libmpg123-dev 和/或 mpg123 程序包。另见
插件详情
严重性: High
ID: 183531
文件名: ubuntu_USN-4806-1.nasl
版本: 1.0
类型: local
代理: unix
发布时间: 2023/10/20
最近更新时间: 2023/10/20
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.3
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2017-12839
CVSS v3
风险因素: High
基本分数: 8.3
时间分数: 7.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:esm, p-cpe:/a:canonical:ubuntu_linux:libmpg123-0, p-cpe:/a:canonical:ubuntu_linux:libmpg123-dev, p-cpe:/a:canonical:ubuntu_linux:mpg123
必需的 KB 项: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2021/3/17
漏洞发布日期: 2017/7/10
参考资料信息
CVE: CVE-2017-11126, CVE-2017-12797, CVE-2017-12839, CVE-2017-9545
USN: 4806-1