CentOS 4：HelixPlayer（CESA-2010:0094）

high Nessus プラグイン ID 44428

Language:

概要

リモートの CentOS ホストにセキュリティ更新がありません。

説明

複数のセキュリティ問題を修正する更新済みの HelixPlayer パッケージが現在 Red Hat Enterprise Linux 4 で利用可能です。

Red Hat セキュリティレスポンスチームは、この更新には重大なセキュリティインパクトがあるものとして評価しています。

HelixPlayer は Media Player です。

HelixPlayer で Graphics Interchange Format（GIF）を処理する方法で、複数のバッファオーバーフローおよび整数オーバーフローの欠陥が検出されました。攻撃者は特殊に細工された GIF ファイルを作成し、 HelixPlayer をクラッシュさせたり、オープン時に任意のコードを実行させることがあります。（CVE-2009-4242、CVE-2009-4245）

HelixPlayer が Synchronized Multimedia Integration Language（SMIL）ファイルを処理する方法でバッファオーバーフローの欠陥が見つかりました。攻撃者は特殊に細工された SMIL ファイルを作成し、 HelixPlayer をクラッシュさせたり、オープン時に任意のコードを実行させることがあります。（CVE-2009-4257）

HelixPlayer で Real Time Streaming Protocol（RTSP）SET_PARAMETER ディレクティブを制御する方法で、バッファオーバーフローの欠陥が見つかりました。悪意のある RTSP サーバーは、この欠陥を悪用し、HelixPlayer をクラッシュさせたり、任意のコードを実行する可能性があります。（CVE-2009-4248）

HelixPlayer でメディアファイルと RTSP ストリームの RuleBook 構造をを制御する方法で、複数のバッファオーバーフローの欠陥が発見されました。特殊に細工された入力により、 HelixPlayer をクラッシュさせたり、任意のコードを実行させることがあります。（CVE-2009-4247、CVE-2010-0417）

HelixPlayer で URL un-escaping する方法で、バッファオーバーフローの欠陥が見つかりました。特殊に細工された URL 文字列により、HelixPlayer をクラッシュさせたり、任意のコードを実行させることがあります。（CVE-2010-0416）

HelixPlayerの全ユーザーは、バックポートされたパッチが含まれるこの更新済みパッケージにアップグレードし、これらの問題を解決することが推奨されます。更新を有効にするには、HelixPlayer の全ての実行中のインスタンスを再起動する必要があります。