[Mplayer-cvslog] CVS: homepage/src news.src.en,1.51,1.52 news.src.hu,1.22,1.23
Gabucino
gabucino at mplayerhq.hu
Thu Sep 25 13:03:01 CEST 2003
Update of /cvsroot/mplayer/homepage/src
In directory mail:/var/tmp.root/cvs-serv14959/src
Modified Files:
news.src.en news.src.hu
Log Message:
MPlayer security advisory #01
Index: news.src.en
===================================================================
RCS file: /cvsroot/mplayer/homepage/src/news.src.en,v
retrieving revision 1.51
retrieving revision 1.52
diff -u -r1.51 -r1.52
--- news.src.en 25 Sep 2003 08:10:43 -0000 1.51
+++ news.src.en 25 Sep 2003 11:02:58 -0000 1.52
@@ -1,6 +1,84 @@
<!-- content begin -->
<font class="bigheader">
<br>
+ <a name="vuln01">
+ 2003.09.25, Thursday :: Exploitable remote buffer overflow vulnerability in MPlayer
+ </a>
+ <br>
+</font>
+<font class="header">
+ posted by Gabucino</a><br>
+</font>
+<font class="text">
+ <br>
+ <b>Severity:</b><br>
+ HIGH (if playing ASX streaming content)<br>
+ LOW (if playing only normal files)<br>
+ <br>
+ <b>Description:</b><br>
+ A remotely exploitable buffer overflow vulnerability was found in MPlayer.
+ A malicious host can craft a harmful ASX header, and trick MPlayer
+ into executing arbitrary code upon parsing that header.<br>
+ <br>
+ <b>MPlayer versions affected:</b><br>
+ MPlayer 0.90pre series<br>
+ MPlayer 0.90rc series<br>
+ MPlayer 0.90<br>
+ MPlayer 0.91<br>
+ MPlayer 1.0pre1<br>
+ <br>
+ <b>MPlayer versions unaffected:</b><br>
+ MPlayer releases before 0.90pre1<br>
+ MPlayer 0.92<br>
+ MPlayer HEAD CVS<br>
+ <br>
+ <b>Notification status:</b><br>
+ Developers were notified on <b>2003.09.24</b><br>
+ Fix was commited into HEAD CVS at <b>2003.09.25 02:36:36 CEST</b><br>
+ <i>MPlayer 0.92 (vuln-fix-only release)</i> was released on <b>2003.09.25
+ 12:00:00 CEST</b><br>
+ <br>
+ <b>Patch availability:</b><br>
+ A patch is available for all vulnerable versions
+ <a href="../../MPlayer/patches/vuln01-fix.diff">here</a>.<br>
+ <br>
+ <b>Suggested upgrading methods:</b><br>
+ MPlayer 1.0pre1 users should upgrade to <b>latest CVS</b><br>
+ MPlayer 0.91 (and below) users should upgrade to <b>0.92</b> OR
+ <b>latest CVS</b><br>
+ <br>
+ MPlayer 0.92 is downloadable from the following sites:
+ <UL>
+ <LI>Hungary 1, HTTP -> <A HREF="http://www1.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">http://www1.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>Hungary 1, FTP -> <A HREF="ftp://ftp1.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">ftp://ftp1.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>Hungary 2, HTTP -> <A HREF="http://www2.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">http://www2.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>Hungary 2, FTP -> <A HREF="ftp://ftp2.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">ftp://ftp2.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>USA, HTTP -> <A HREF="http://ftp3.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">http://ftp3.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>USA, FTP -> <A HREF="ftp://ftp3.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">ftp://ftp3.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>Switzerland, HTTP -> <A HREF="http://www4.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">http://www4.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>USA2, HTTP -> <A HREF="http://ftp5.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">http://ftp5.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>USA2, FTP -> <A HREF="ftp://ftp5.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">ftp://ftp5.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>Australia, FTP -> <A HREF="ftp://ftp6.mplayerhq.hu/pub/mplayer/releases/MPlayer-0.92.tar.bz2">ftp://ftp6.mplayerhq.hu/pub/mplayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>Finland, HTTP -> <A HREF="http://www7.mplayerhq.hu/pub/mplayer/releases/MPlayer-0.92.tar.bz2">http://www7.mplayerhq.hu/pub/mplayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ </UL>
+ <br>
+</font>
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+<font class="bigheader">
+ <br>
<a name="mplayer1.0pre1">
2003.09.01, Monday :: MPlayer 1.0pre1 released
</a>
Index: news.src.hu
===================================================================
RCS file: /cvsroot/mplayer/homepage/src/news.src.hu,v
retrieving revision 1.22
retrieving revision 1.23
diff -u -r1.22 -r1.23
--- news.src.hu 13 Sep 2003 22:41:06 -0000 1.22
+++ news.src.hu 25 Sep 2003 11:02:58 -0000 1.23
@@ -1,6 +1,141 @@
<!-- content begin -->
<font class="bigheader">
<br>
+ <a name="vuln01">
+ 2003.09.25, Csütörtök :: Távolról kihasználható buffer túlcsordulás
+ </a>
+ <br>
+</font>
+<font class="header">
+ írta: Gabucino</a><br>
+</font>
+<font class="text">
+ <br>
+ <b>Súlyossági fokozat:</b><br>
+ MAGAS (ASX streaming tartalom lejátszása esetén)<br>
+ ALACSONY (szokásos file-ok lejátszása esetén)<br>
+ <br>
+ <b>Leírás:</b><br>
+ Egy távolról kihasználható buffer túlcsordulást találtunk az MPlayerben.
+ A rosszindulatú támadó létrehozhat egy olyan ASX file-t, melynek
+ beolvasásakor az MPlayer lefuttatja a file-ban lévõ ártalmas kódot.<br>
+ <br>
+ <b>Érintett MPlayer verziók:</b><br>
+ MPlayer 0.90pre sorozat<br>
+ MPlayer 0.90rc sorozat<br>
+ MPlayer 0.90<br>
+ MPlayer 0.91<br>
+ MPlayer 1.0pre1<br>
+ <br>
+ <b>Nem érintett MPlayer verziók:</b><br>
+ MPlayer 0.90pre1 elõttiek<br>
+ MPlayer 0.92<br>
+ MPlayer fejlesztõi CVS<br>
+ <br>
+ <b>Értesítés:</b><br>
+ A fejlesztõk értesítése <b>2003.09.24</b>-én történt meg.<br>
+ A javítás <b>2003.09.25 02:36:36</b> órakor került be a CVS-be.<br>
+ Az <i>MPlayer 0.92 (csak a sebezhetõség javítását tartalmazza)</i>
+ <b>2003.09.25 12:00:00</b> órakor lett kiadva.<br>
+ <br>
+ <b>Letölthetõ patch:</b><br>
+ Az összes érintett verzióra használható patch
+ <a href="../../MPlayer/patches/vuln01-fix.diff">innen</a> tölthetõ
+ le.<br>
+ <br>
+ <b>Ajánlott frissítések:</b><br>
+ Az MPlayer 1.0pre1 felhasználói a <b>legújabb CVS-t</b>,<br>
+ Az MPlayer 0.91 (és ez alatti verziók) használói a <b>0.92</b>-t,
+ vagy a <b>legújabb CVS-t</b> használják.<br>
+ <br>
+ Az MPlayer 0.92 a következõ helyekrõl tölthetõ le:
+ <UL>
+ <LI>Magyarország 1, HTTP -> <A HREF="http://www1.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">http://www1.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>Magyarország 1, FTP -> <A HREF="ftp://ftp1.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">ftp://ftp1.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>Magyarország 2, HTTP -> <A HREF="http://www2.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">http://www2.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>Magyarország 2, FTP -> <A HREF="ftp://ftp2.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">ftp://ftp2.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>USA, HTTP -> <A HREF="http://ftp3.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">http://ftp3.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>USA, FTP -> <A HREF="ftp://ftp3.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">ftp://ftp3.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>Svájc, HTTP -> <A HREF="http://www4.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">http://www4.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>USA2, HTTP -> <A HREF="http://ftp5.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">http://ftp5.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>USA2, FTP -> <A HREF="ftp://ftp5.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2">ftp://ftp5.mplayerhq.hu/MPlayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>Ausztrália, FTP -> <A HREF="ftp://ftp6.mplayerhq.hu/pub/mplayer/releases/MPlayer-0.92.tar.bz2">ftp://ftp6.mplayerhq.hu/pub/mplayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ <LI>Finnország, HTTP -> <A HREF="http://www7.mplayerhq.hu/pub/mplayer/releases/MPlayer-0.92.tar.bz2">http://www7.mplayerhq.hu/pub/mplayer/releases/MPlayer-0.92.tar.bz2</A></LI>
+ </UL>
+ <br>
+</font>
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+<font class="bigheader">
+ <br>
+ <a name="mplayer1.0pre1">
+ 2003.09.01, Hétfõ :: MPlayer 1.0pre1 kiadva
+ </a>
+ <br>
+</font>
+<font class="header">
+ írta: Gabucino</a><br>
+</font>
+<font class="text">
+ <br>
+ Ez a pre-release a 1.0-ás verzió kiadását megelõzõ hibajavító sorozat
+ elsõ része. Megint hangsúlyozom: ez a csomag <B>NEM</B> a 0.90 illetve
+ 0.91 verziókból jött létre, hanem a <B>HEAD</B> CVS ágból, aminek ez
+ elõtti eleme pedig a 0.90rc4 pre-release.<br>
+ <br>
+ Kérjük, hogy teszteld amennyire csak tudod, és ha hibát találsz azt
+ hozd tudtunkra!<br>
+ <br>
+ Keresünk továbbá embereket a lengyel, norvég, román, holland, és
+ török dokumentáció folyamatos karbantartására.<br>
+ <br>
+ MPlayer 1.0pre1 -- "Fejlesztés" a tengerparton<br>
+ <br>
+ A ChangeLog az <a href="news.html">angol nyelvû hírekben</a> található.<br>
+ <br>
+ Letöltési helyek:
+ <UL>
+ <LI>Magyarország 1, HTTP -> <A HREF="http://www1.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2">http://www1.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2</A></LI>
+ <LI>Magyarország 1, FTP -> <A HREF="ftp://ftp1.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2">ftp://ftp1.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2</A></LI>
+ <LI>Magyarország 2, HTTP -> <A HREF="http://www2.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2">http://www2.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2</A></LI>
+ <LI>Magyarország 2, FTP -> <A HREF="ftp://ftp2.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2">ftp://ftp2.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2</A></LI>
+ <LI>USA, HTTP -> <A HREF="http://ftp3.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2">http://ftp3.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2</A></LI>
+ <LI>USA, FTP -> <A HREF="ftp://ftp3.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2">ftp://ftp3.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2</A></LI>
+ <LI>Svájc, HTTP -> <A HREF="http://www4.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2">http://www4.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2</A></LI>
+ <LI>USA2, HTTP -> <A HREF="http://ftp5.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2">http://ftp5.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2</A></LI>
+ <LI>USA2, FTP -> <A HREF="ftp://ftp5.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2">ftp://ftp5.mplayerhq.hu/MPlayer/releases/MPlayer-1.0pre1.tar.bz2</A></LI>
+ <LI>Ausztrália, FTP -> <A HREF="ftp://ftp6.mplayerhq.hu/pub/mplayer/releases/MPlayer-1.0pre1.tar.bz2">ftp://ftp6.mplayerhq.hu/pub/mplayer/releases/MPlayer-1.0pre1.tar.bz2</A></LI>
+ </UL>
+ <br>
+</font>
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+<font class="bigheader">
+ <br>
<a name="mplayer10gossip">
2003.08.14, Csütörtök :: 1.0 hírek
</a>
More information about the MPlayer-cvslog
mailing list