发布日期：2002-09-20
更新日期：2002-09-25

受影响系统：

Alsaplayer Alsaplayer 0.99.71

描述：

---

BUGTRAQ  ID: 5767
CVE(CAN) ID: CVE-2002-1896

Alsaplayer是一款利用ALSA库和驱动的PCM播放器，可使用在Linux和Unix操作系统下。

Alsaplayer在处理"add-on path"选项时存在问题，本地攻击者可以利用这个漏洞进行缓冲区溢出攻击。

Alsaplayer在处理超长"add-on path"选项数据时缺少正确的边界缓冲区检查，本地攻击者利用这个漏洞可以破坏Alsaplayer堆栈内容，造成Alsaplayer崩溃，Alsaplayer默认不以setuid属性安装，但根据作者建议，要增加部分功能必须增加S位。

<*来源：KF of Snosoft
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* chmod u-s /path/alsaplayer

厂商补丁：

Alsaplayer
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Alsaplayer Upgrade Alsaplayer-0.99.72
http://www.alsaplayer.org/alsaplayer-0.99.72.tar.gz

浏览次数：2896
严重程度：0（网友投票）