Alsplayer本地缓冲区溢出漏洞

漏洞信息详情

Alsplayer本地缓冲区溢出漏洞

• CNNVD编号：CNNVD-200212-841
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-1896
  
• 漏洞类型：
  
  
  边界条件错误
  
• 发布时间：
  
  2002-09-20
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  alsaplayer
• 漏洞来源：

Alsaplayer是一款利用ALSA库和驱动的PCM播放器，可使用在Linux和Unix操作系统下。
Alsaplayer在处理\”add-on path\”选项时存在问题，本地攻击者可以利用这个漏洞进行缓冲区溢出攻击。
Alsaplayer在处理超长\”add-on path\”选项数据时缺少正确的边界缓冲区检查，本地攻击者利用这个漏洞可以破坏Alsaplayer堆栈内容，造成Alsaplayer崩溃，Alsaplayer默认不以setuid属性安装，但根据作者建议，要增加部分功能必须增加S位。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* chmod u-s /path/alsaplayer
厂商补丁：
Alsaplayer
———-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Alsaplayer Upgrade Alsaplayer-0.99.72

http://www.alsaplayer.org/alsaplayer-0.99.72.tar.gz” target=”_blank”>
http://www.alsaplayer.org/alsaplayer-0.99.72.tar.gz

来源: BID
名称: 5767
链接:http://www.securityfocus.com/bid/5767

来源: XF
名称: alsaplayer-command-line-bo(10157)
链接:http://www.iss.net/security_center/static/10157.php

来源: FULLDISC
名称: 20020920 Alsasound local b0f (not an issue if not setuid root)
链接:http://lists.grok.org.uk/pipermail/full-disclosure/2002-September/001730.html

来源: cvs.sourceforge.net
链接:http://cvs.sourceforge.net/viewcvs.py/alsaplayer/alsaplayer/app/Main.cpp.diff?r1=1.66&r2=1.67

来源: alsaplayer.org
链接:http://alsaplayer.org/changelog.php3

来源：NSFOCUS
名称：3573
链接：http://www.nsfocus.net/vulndb/3573