发布日期：2006-04-04
更新日期：2006-04-05

受影响系统：

Kaffeine Media Player 0.4.2 - 0.7.1

不受影响系统：

Kaffeine Media Player 0.8.0

描述：

---

BUGTRAQ  ID: 17372
CVE(CAN) ID: CVE-2006-0051

Kaffeine是一款简单易用的媒体播放器，基于xine-lib，完全集成于KDE3。

Kaffeine的http_peek()函数在创建HTTP请求首部获取远程播放列表时存在缓冲区溢出，在某些环境下可能导致应用程序崩溃或执行任意代码。

<*来源：Marcus Meissner
  
  链接：http://www.kde.org/info/security/advisory-20060404-1.txt
        http://secunia.com/advisories/19525/print/
        http://security.gentoo.org/glsa/glsa-200604-04.xml
        http://www.debian.org/security/2006/dsa-1023
*>

建议：

---

厂商补丁：

Debian
------
Debian已经为此发布了一个安全公告（DSA-1023-1）以及相应补丁:
DSA-1023-1：New kaffeine packages fix arbitrary code execution
链接：http://www.debian.org/security/2005/dsa-1023

补丁下载：
Source archives:

http://security.debian.org/pool/updates/main/k/kaffeine/kaffeine_0.6-1sarge1.dsc
Size/MD5 checksum:      759 41d3e9247746d2ca05fbaf06f8dc5a53
http://security.debian.org/pool/updates/main/k/kaffeine/kaffeine_0.6-1sarge1.diff.gz
Size/MD5 checksum:    33485 127c21639b5e960cd72b0f1388a1058f
http://security.debian.org/pool/updates/main/k/kaffeine/kaffeine_0.6.orig.tar.gz
Size/MD5 checksum:  2237634 0b0398b1ca6bd19a04a8c647dc8252bd

Alpha architecture:

http://security.debian.org/pool/updates/main/k/kaffeine/kaffeine_0.6-1sarge1_alpha.deb
Size/MD5 checksum:  1488988 200ec5b185b2dbe29fc4743f3f6228bc

AMD64 architecture:

http://security.debian.org/pool/updates/main/k/kaffeine/kaffeine_0.6-1sarge1_amd64.deb
Size/MD5 checksum:  1443844 425d1b8ae1c52e8433cbf9e5e4a2e1ac

ARM architecture:

http://security.debian.org/pool/updates/main/k/kaffeine/kaffeine_0.6-1sarge1_arm.deb
Size/MD5 checksum:  1391900 f100be45d4f40600b65967305d2a360e

Intel IA-32 architecture:

http://security.debian.org/pool/updates/main/k/kaffeine/kaffeine_0.6-1sarge1_i386.deb
Size/MD5 checksum:  1430340 b12cdd0adb1cd8150f6805d5e5f6dd76

Intel IA-64 architecture:

http://security.debian.org/pool/updates/main/k/kaffeine/kaffeine_0.6-1sarge1_ia64.deb
Size/MD5 checksum:  1579154 491295df2cbf29bb449f079406a55d87

HP Precision architecture:

http://security.debian.org/pool/updates/main/k/kaffeine/kaffeine_0.6-1sarge1_hppa.deb
Size/MD5 checksum:  1475956 afb0dcc722106c43fed478ad0cafa4f6

Motorola 680x0 architecture:

http://security.debian.org/pool/updates/main/k/kaffeine/kaffeine_0.6-1sarge1_m68k.deb
Size/MD5 checksum:  1398896 852d4c82c346700eee3bafd35fb1eb9c

Big endian MIPS architecture:

http://security.debian.org/pool/updates/main/k/kaffeine/kaffeine_0.6-1sarge1_mips.deb
Size/MD5 checksum:  1387122 a0a28d851754e739cbc5b4882d643a2a

Little endian MIPS architecture:

http://security.debian.org/pool/updates/main/k/kaffeine/kaffeine_0.6-1sarge1_mipsel.deb
Size/MD5 checksum:  1382720 f8506a528a46373b632b1850dfe59597

PowerPC architecture:

http://security.debian.org/pool/updates/main/k/kaffeine/kaffeine_0.6-1sarge1_powerpc.deb
Size/MD5 checksum:  1398308 69c3fc0cd41ca02e1f04ab34ca1f857e

IBM S/390 architecture:

http://security.debian.org/pool/updates/main/k/kaffeine/kaffeine_0.6-1sarge1_s390.deb
Size/MD5 checksum:  1418478 a3e2444094286bcb1da972e46c416cc2

Sun Sparc architecture:

http://security.debian.org/pool/updates/main/k/kaffeine/kaffeine_0.6-1sarge1_sparc.deb
Size/MD5 checksum:  1404282 f8e73e88d155a1873d64db720a6ae2d2

补丁安装方法：

1. 手工安装补丁包：

  首先，使用下面的命令来下载补丁软件：
  # wget url  (url是补丁下载链接地址)

  然后，使用下面的命令来安装补丁：  
  # dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包：

   首先，使用下面的命令更新内部数据库：
   # apt-get update
  
   然后，使用下面的命令安装更新软件包：
   # apt-get upgrade

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA-200604-04）以及相应补丁:
GLSA-200604-04：Kaffeine: Buffer overflow
链接：http://security.gentoo.org/glsa/glsa-200604-04.xml

所有Kaffeine用户都应升级到最新版本:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=media-video/kaffeine-0.7.1-r2"

Kaffeine
--------
http://www.debian.org/security/2006/dsa-1023

浏览次数：3390
严重程度：1（网友投票）