[MPlayer-translations] [homepage]: r2959 - trunk/src/news.src.pl
boskicinek
subversion at mplayerhq.hu
Wed Jun 6 13:31:35 CEST 2007
Author: boskicinek
Date: Wed Jun 6 13:31:34 2007
New Revision: 2959
Log:
sync with r2956
Modified:
trunk/src/news.src.pl
Modified: trunk/src/news.src.pl
==============================================================================
--- trunk/src/news.src.pl (original)
+++ trunk/src/news.src.pl Wed Jun 6 13:31:34 2007
@@ -1,11 +1,101 @@
<!-- content begin -->
-<!-- synced with r2937 -->
+<!-- synced with r2956 -->
<h1>Wieści</h1>
<div class="newsentry">
+<h2>
+ <a name="vuln15">2007-06-05, Środa :: błąd przepełnienia stosu w stream_cddb.c</a>
+ <br><span class="poster">opublikował Roberto</span>
+</h2>
+
+<h3>Streszczenie</h3>
+
+<p>
+Stefan Cornelius z Secunia Research zgłosił błąd przepełnienia stosu
+w kodzie używanym do obsługi zapytań cddb. Dwa podobne błędy zostały znalezione
+przez Reimara Döffingera podczas poprawiania zgłoszonego błędu. Błąd został
+oznaczony jako CVE-2007-2948 i
+<a href="http://secunia.com/advisories/24302/">SAID 24302</a>.
+</p>
+
+<p>
+Podczas kopiowania tytułu albumu i kategorii, nie zadbano o sprawdzenie
+rozmiaru łańcucha znakowego przed zapisaniem go do wskaźnika stałego rozmiaru.
+Złośliwy wpis w bazie danych mógł doprowadzić do przepełnienia stosu w programie,
+prowadzącym do zdalnego wykonania kodu z uprawnieniami użytkownika uruchamiającego
+MPlayera.
+</p>
+
+<h3>Zagrożenie</h3>
+
+<p>
+Wysokie (zdalne wykonanie kodu z prawami użytkownika używającego odtwarzacza)
+przy pobieraniu informacji o płycie ze złośliwego wpisu cddb; żadne, jeżeli
+nie używasz tej funkcjonalności. Prosimy wziąć pod uwagę, że możliwe jest
+nadpisanie wpisów w bazie cddb, więc atak może zostać przeprowadzony także
+za pośrednictwem bezpiecznych serwerów. W momencie naprawiania błędu
+przepełnienia stosu nie były dostępne wykorzystujące go exploity.
+</p>
+
+<h3>Rozwiązanie</h3>
+
+<p>
+<a href="http://svn.mplayerhq.hu/mplayer/trunk/stream/stream_cddb.c?r1=23287&r2=23470">Poprawka</a>
+rozwiązująca ten problem została dodana do SVN w środę, 5 czerwca o godzinie
+11:13:32 UTC jako r23470. Użytkownicy zagrożonych wersji MPlayera powinni
+pobrać
+<a href="http://www.mplayerhq.hu/MPlayer/patches/cddb_fix_20070605.diff">łatkę</a>
+dla MPlayera 1.0rc1 lub uaktualnić program do najnowszej wersji, jeżeli używają
+SVN.
+</p>
+
+<p>
+W przypadku gdyby przeprowadzenie aktualizacji lub zastosowanie sugerowanej
+łatki nie było możliwe, istnieje kilka możliwych obejść problemu:
+<ul>
+ <li>Nie używanie URL-i cddb:// (prosimy uważać także w przypadku list odtwarzania)</li>
+ <li>Przekierowanie freedb.freedb.org do 127.0.0.1 (np. przez plik hosts)</li>
+ <li>Przekompilowanie z opcją --disable-cddb</li>
+</ul>
+</p>
+
+<p>
+Prosimy zauważyć, że nie udostępniamy w tej chwili uaktualnionych plików tarball
+zawierających tą poprawkę.<br>
+Jeżeli musisz zostać przy wersji 1.0rc1, pobierz plik tarball z MPlayer 1.0rc1,
+nałóż łatkę z poprawką i przekompiluj MPlayera. Jeżeli jednak jest to możliwe,
+polecamy aktualizować program do wersji z SVN.<br>
+Jeżeli zdecydujesz się pozostać przy rc1, nie zapomnij o nałożeniu także
+<a href="http://www.mplayerhq.hu/MPlayer/patches/asmrules_fix_20061231.diff">starszej poprawki.</a>
+Jeżeli opiekujesz się binarną paczką z MPlayerem, porsimy o oznaczenie
+uaktualnionej wersji jako MPlayer 1.0rc1try3.
+</p>
+
+<h3>Zagrożone wersje</h3>
+
+<p>
+MPlayer 1.0rc1, MPlayer 1.0rc1try2 i SVN wcześniejsze niż r23470 (Środa,
+5 czerwca 11:13:32 2007 UTC).
+Problem dotyczy prawdopodobnie także starszych wersji, ale nie zostały one
+sprawdzone.
+</p>
+
+
+<h3>Bezpieczne wersje</h3>
+
+<p>
+SVN HEAD późniejsze niż r23470 (Tue Jun 5 11:13:32 2007 UTC)<br>
+MPlayer 1.0rc1 + łatki bezpieczeństwa
+</p>
+
+</div>
+
+
+<div class="newsentry">
+
<h2>
<a name="LinuxTag2007">2007-05-13, Niedziela :: MPlayer na LinuxTag 2007</a>
<br><span class="poster">opublikował Roberto</span>
More information about the MPlayer-translations
mailing list