Sistemas Afectados

1. Descripción

   Ubuntu liberó una actualización para xine-lib. Esta repara una vulnerabiliada que podría explotarse por personas maliciosas para comprometer el sistema de un usuario.

   • Ulf Harnhammar descubrió un error de formato de cadena en el modulo de CDDB que maneja la cache en la biblioteca de Xine, esta es utilizada por paquetes como xine-ui, totem-xine, y gxine. Podría ser explotado para ejecutar código arbitrario al engañar a un usuario a ingresar a un servidor CDDB malicioso.

     Ver:
     Vulnerabilidad de formato de cadena en el cliente CDDB de xine-lib.
     http://www.seguridad.unam.mx/vulnerabilidadesDB-vulne=4816

2. Impacto

   Acceso al sistema.

3. Solución

   Aplicar los paquetes actualizados.

   -- Ubuntu 4.10 (Warty Warthog) --

   Archivos fuente:
   http://security.ubuntu.com/ubuntu/pool/main/x/xine-lib/xine-lib_1-rc5-1ubuntu2.3.dsc
   http://security.ubuntu.com/ubuntu/pool/main/x/xine-lib/xine-lib_1-rc5-1ubuntu2.3.diff.gz

   -- Ubuntu 5.04 (Hoary Hedgehog) --

   Archivos fuente:
   http://security.ubuntu.com/ubuntu/pool/main/x/xine-lib/xine-lib_1.0-1ubuntu3.1.1.dsc
   http://security.ubuntu.com/ubuntu/pool/main/x/xine-lib/xine-lib_1.0-1ubuntu3.1.1.diff.gz

4. Apéndices

   Mayor información.

   http://www.ubuntu.com/usn/usn-196-1
   http://www.seguridad.unam.mx/vulnerabilidadesDB-vulne=4816

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Floriberto López Velázquez (flopez at seguridad dot unam dot mx)