Уязвимость DoS атаки и потенциального выполнения произвольного кода в VLC Media Player через некорректную обработку RTSP сообщений
Описание
Функция parseRTSPRequestString в Live Networks Live555 Streaming Media версии 2013.11.26, используемая в VLC Media Player, позволяет злоумышленникам вызвать DoS атаку (аварийное завершение работы) и, возможно, выполнить произвольный код. Уязвимость проявляется при передаче пробела в начале RTSP сообщения, что приводит к проблемам с вычислением целого числа (integer underflow), зацикливанию и переполнению буфера.
Затронутые версии ПО
- Live Networks Live555 Streaming Media 2013.11.26
- VLC Media Player
Тип уязвимости
- DoS атака
- Выполнение произвольного кода
- Переполнение буфера
Дополнительная информация
Эта уязвимость возникла из-за неполного исправления для CVE-2013-6933.
Ссылки
- ExploitThird Party Advisory
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- ExploitThird Party Advisory
- Vendor Advisory
- Third Party AdvisoryVDB Entry
Уязвимые конфигурации
EPSS
7.5 High
CVSS2
Дефекты
Связанные уязвимости
The parseRTSPRequestString function in Live Networks Live555 Streaming Media 2013.11.26, as used in VideoLAN VLC Media Player, allows remote attackers to cause a denial of service (crash) and possibly execute arbitrary code via a space character at the beginning of an RTSP message, which triggers an integer underflow, infinite loop, and buffer overflow. NOTE: this vulnerability exists because of an incomplete fix for CVE-2013-6933.
The parseRTSPRequestString function in Live Networks Live555 Streaming ...
The parseRTSPRequestString function in Live Networks Live555 Streaming Media 2013.11.26, as used in VideoLAN VLC Media Player, allows remote attackers to cause a denial of service (crash) and possibly execute arbitrary code via a space character at the beginning of an RTSP message, which triggers an integer underflow, infinite loop, and buffer overflow. NOTE: this vulnerability exists because of an incomplete fix for CVE-2013-6933.
EPSS
7.5 High
CVSS2