—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-2194 – Schwachstelle in VLC (Video Lan Client)

Im Parser fuer XSPF-Abspiellisten von VLC kann es zu einem Integer
Overflow kommen. Dieser erlaubt einem entfernten Angreifer einen
Overflow auf dem Heap zu provozieren, was dann schlimmstenfalls zur
Ausfuehrung von beliebigem Code mit den Rechten der Anwendung verwendet
werden kann. Die Voraussetzung dafuer ist, dass ein Nutzer dazu gebracht
wird, eine praeparierte Abspielliste zu oeffnen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket vlc in Debian GNU/Linux 6.0 (squeeze) vor Version
1.1.3-1squeeze6
Fuer Pakete in Debian GNU/Linux 7.0 (wheezy) werden Patches
nachgereicht
Fuer Pakete in Debian GNU/Linux unstable (sid) werden Patches
nachgereicht

Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux 7.0 (wheezy)
Debian GNU/Linux unstable (sid)

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Timo Schulz

– —
Timo Schulz, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

– —–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

– – ————————————————————————-
Debian Security Advisory DSA-2257-1 security@debian.org
http://www.debian.org/security/ Nico Golde
June 10, 2011 http://www.debian.org/security/faq
– – ————————————————————————-

Package : vlc
Vulnerability : heap-based buffer overflow
Problem type : local
Debian-specific: no
CVE ID : CVE-2011-2194

Rocco Calvi discovered that the XSPF playlist parser of vlc, a multimedia
player and streamer, is prone to an integer overflow resulting in a
heap-based buffer overflow. This might allow an attacker to execute
arbitrary code by tricking a victim into opening a specially crafted
file.

The oldstable distribution (lenny) is not affected by this problem.

For the stable distribution (squeeze), this problem has been fixed in
version 1.1.3-1squeeze6.

For the testing (wheezy) and unstable (sid) distributions, this
problem will be fixed soon.

We recommend that you upgrade your vlc packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/

Mailing list: debian-security-announce@lists.debian.org

– —–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.11 (GNU/Linux)

iEYEARECAAYFAk3x8LQACgkQHYflSXNkfP8cVQCfXsLglWJUAsX/RfFYMesf4jOv
7qYAnilMfj3iqc7MsgjS1oFkzkPLgRAc
=rAAI
– —–END PGP SIGNATURE—–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJN8fw2AAoJEJtyb8U7iGZB1OQH+QFeQRs25l46Ggh9FXMFRNDA
NXBKq3E0eZJMf3Y6FX7f9qZnDGAM2zbPOvU/5JlZNYguqWEICkTqdjfiCLjxT5/T
J+3SwXkmU8x1vU4IH8RD1o9+6xvj3biTIya/HwtbVt0uT1WTfQx6fnk+GXf1g88n
55ONH08I2yH7Zjip4gusjDQq/3pSkTznWP9YtOIyexIKip3Qa/DXXwbvmkK+xJBy
fBkOFPKbwDm1Kw36pSDa+AU74utkECjb0EZCyt6/cNoc/0w8kNggDd1ZIW/9jhnB
1LZte5EuQEN1f+jBjiNxk28XwoDp7hMuqrUzvIuEgkzOpXqDAtoWw4HXNM1f7Ho=
=lCLW
—–END PGP SIGNATURE—–