发布日期：2005-10-09
更新日期：2005-10-09

受影响系统：

xine xine-lib 1.1.0
xine xine-lib 1.0.2
xine xine-lib 1.0.1
xine xine-lib 1.0
xine xine-lib 0.9.13

描述：

---

BUGTRAQ  ID: 15044
CVE(CAN) ID: CVE-2005-2967

xine是一款免费的媒体播放器，支持多种格式。

在使用xine或gxine播放CD时，程序会连接到CDDB服务器以检索记录的艺术家、乐队、歌曲标题等，然后程序将这些信息写入缓存文件。xine-lib中代码在执行这个操作时存在格式串漏洞，可能允许远程执行任意代码。

<*来源：Ulf Harnhammar （ulfh@update.uu.se）
  
  链接：http://marc.theaimsgroup.com/?l=full-disclosure&m=112877511901802&w=2
        http://security.gentoo.org/glsa/glsa-200510-08.xml
*>

建议：

---

临时解决方法：

* 在设置中关闭CDDB查询。

厂商补丁：

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA-200510-08）以及相应补丁:
GLSA-200510-08：xine-lib: Format string vulnerability
链接：http://security.gentoo.org/glsa/glsa-200510-08.xml

所有xine-lib用户都应升级到最新版本：

    # emerge --sync
    # emerge --ask --oneshot --verbose media-libs/xine-lib

浏览次数：3100
严重程度：0（网友投票）