openSUSEセキュリティ更新プログラム：mpg123 (openSUSE-2017-1035)

medium Nessus プラグイン ID 103203

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このmpg123 の更新プログラムでは、次の問題が修正されます：

- バージョン1.25.6に更新してください

- バグ255のホットフィックス：レイヤーIIデコーディングでのフレームデータビット読み取りでのオーバーフロー。フレームデータが枯渇すると、すべてゼロのデータが返されるようになりました。これはパフォーマンスにわずかな影響を与える可能性がありますが、現時点では容易に測定できません。

- バージョン1.25.5に更新してください

-32ビットプラットフォームのID3パーサーで別のバッファ読み取りオーバーフローを回避します（バグ254）。(CVE-2017-12797/boo#1056999)

- バージョン 1.25.4 に更新してください。libmpg123：

- memcpy(NULL, NULL, 0)の無害な呼び出しを防止します。

- 偽造テキストの保存を回避するため、ID3v2エンコーディング値のチェックをより早期の時点で実行します。

ソリューション

影響を受けるmpg123パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1056999

プラグインの詳細

深刻度: Medium

ID: 103203

ファイル名: openSUSE-2017-1035.nasl

バージョン: 3.5

タイプ: local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2017/9/14

更新日: 2025/11/21

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2017-12797

CVSS v3

リスクファクター: Medium

基本値: 5.5

現状値: 4.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:mpg123-jack-debuginfo, p-cpe:/a:novell:opensuse:mpg123-devel-32bit, p-cpe:/a:novell:opensuse:mpg123-debuginfo, p-cpe:/a:novell:opensuse:mpg123-pulse-debuginfo-32bit, p-cpe:/a:novell:opensuse:mpg123-esound-debuginfo, p-cpe:/a:novell:opensuse:mpg123-pulse-debuginfo, p-cpe:/a:novell:opensuse:libmpg123-0, p-cpe:/a:novell:opensuse:mpg123-jack, p-cpe:/a:novell:opensuse:mpg123-openal-debuginfo-32bit, p-cpe:/a:novell:opensuse:mpg123-portaudio-debuginfo, p-cpe:/a:novell:opensuse:mpg123-openal-debuginfo, p-cpe:/a:novell:opensuse:mpg123-portaudio-32bit, p-cpe:/a:novell:opensuse:mpg123-esound, p-cpe:/a:novell:opensuse:mpg123-jack-debuginfo-32bit, p-cpe:/a:novell:opensuse:libout123-0-debuginfo, p-cpe:/a:novell:opensuse:mpg123-pulse, p-cpe:/a:novell:opensuse:mpg123-esound-debuginfo-32bit, p-cpe:/a:novell:opensuse:mpg123-portaudio-debuginfo-32bit, p-cpe:/a:novell:opensuse:mpg123-openal, p-cpe:/a:novell:opensuse:libmpg123-0-debuginfo-32bit, p-cpe:/a:novell:opensuse:libmpg123-0-32bit, p-cpe:/a:novell:opensuse:mpg123-devel, p-cpe:/a:novell:opensuse:mpg123-sdl-debuginfo-32bit, p-cpe:/a:novell:opensuse:libout123-0-32bit, cpe:/o:novell:opensuse:42.3, p-cpe:/a:novell:opensuse:mpg123-sdl-32bit, p-cpe:/a:novell:opensuse:mpg123-openal-32bit, p-cpe:/a:novell:opensuse:mpg123-debugsource, p-cpe:/a:novell:opensuse:libout123-0-debuginfo-32bit, p-cpe:/a:novell:opensuse:mpg123-sdl, p-cpe:/a:novell:opensuse:mpg123-esound-32bit, p-cpe:/a:novell:opensuse:mpg123, p-cpe:/a:novell:opensuse:libout123-0, p-cpe:/a:novell:opensuse:libmpg123-0-debuginfo, p-cpe:/a:novell:opensuse:mpg123-pulse-32bit, p-cpe:/a:novell:opensuse:mpg123-sdl-debuginfo, p-cpe:/a:novell:opensuse:mpg123-jack-32bit, p-cpe:/a:novell:opensuse:mpg123-portaudio

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/9/11

参照情報

CVE: CVE-2017-12797