发布日期：2005-10-31
更新日期：2005-10-31

受影响系统：

Debian Linux 3.1
GNU gnump3d 2.9.5
GNU gnump3d 2.9.4
GNU gnump3d 2.9.3
GNU gnump3d 2.9.2
GNU gnump3d 2.9.1
GNU gnump3d 2.9

不受影响系统：

GNU gnump3d 2.9.6

描述：

---

BUGTRAQ  ID: 15228
CVE(CAN) ID: CVE-2005-3123

GNU MP3 Daemon（gnump3d）是一个小巧轻便的流媒体服务器，支持MP3、OGG以及其他音频文件。

GNU gnump3d中存在目录遍历漏洞，攻击者可以利用特制的URL读取流媒体服务器用户可以访问的任意文件。

<*来源：Steve Kemp （skx@debian.org）
  
  链接：http://www.debian.org/security/2005/dsa-877
*>

建议：

---

厂商补丁：

Debian
------
Debian已经为此发布了一个安全公告（DSA-877-1）以及相应补丁:
DSA-877-1：New gnump3d packages fix several vulnerabilities
链接：http://www.debian.org/security/2005/dsa-877

补丁下载：

Source archives:

http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3-1sarge2.dsc
Size/MD5 checksum:      575 16114607fe426691518743a80a15deda
http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3.orig.tar.gz
Size/MD5 checksum:   616250 1a0d6a10f6ac2354e1f8c6000665f299
http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3-1sarge2.diff.gz
Size/MD5 checksum:    14298 9fbb9305ab4282b7957be8203dd6fb35

Architecture independent components:

http://security.debian.org/pool/updates/main/g/gnump3d/gnump3d_2.9.3-1sarge2_all.deb
Size/MD5 checksum:   603662 a94ff8504be400030a5f5fdb08987da0

补丁安装方法：

1. 手工安装补丁包：

  首先，使用下面的命令来下载补丁软件：
  # wget url  (url是补丁下载链接地址)

  然后，使用下面的命令来安装补丁：  
  # dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包：

   首先，使用下面的命令更新内部数据库：
   # apt-get update
  
   然后，使用下面的命令安装更新软件包：
   # apt-get upgrade

GNU
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

* GNU Upgrade gnump3d v2.9.6
http://www.gnu.org/software/gnump3d/download.html#Download

浏览次数：3631
严重程度：0（网友投票）