首頁 > 安全研究 > 安全通報 > 安全通告

VLC 媒體播放器 libmicrodns 庫多個漏洞風險通告

發布時間 2020-03-26

漏洞編號和級別


CVE編號:CVE-2020-6071,危險級別:高危,CVSS分值:廠商自評:7.5,官方未評定

CVE編號:CVE-2020-6072,危險級別:嚴重,CVSS分值:廠商自評:9.8,官方未評定

CVE編號:CVE-2020-6073,危險級別:高危,CVSS分值:廠商自評:7.5,官方未評定

CVE編號:CVE-2020-6077,危險級別:高危,CVSS分值:廠商自評:7.5,官方未評定

CVE編號:CVE-2020-6078,危險級別:高危,CVSS分值:廠商自評:7.5,官方未評定

CVE編號:CVE-2020-6079,危險級別:高危,CVSS分值:廠商自評:7.5,官方未評定

CVE編號:CVE-2020-6080,危險級別:高危,CVSS分值:廠商自評:7.5,官方未評定


影響版本


libmicrodns庫版本0.1.0


漏洞概述


近日,思科Talos的安全研究人員披露Videolabs的libmicrodns庫中的多個DoS和代碼執行漏洞。Videolabs由VideoLAN成員創立,是VLC移動應用程序的當前編輯者,也是VLC媒體播放器的重要貢獻者。libmicrodns是跨平臺的mDNS解析器庫,在VLC媒體播放器中用于mDNS服務發現。漏洞概述如下:


CVE-2020-6071

Videolabs libmicrodns 0.1.0版本中的資源記錄解析功能存在安全漏洞,該漏洞源于程序在解析mDNS消息中的壓縮標簽時,沒有進行遞歸檢查便直接使用壓縮指針。攻擊者可利用該漏洞造成拒絕服務。


CVE-2020-6072

Videolabs libmicrodns 0.1.0版本中的標簽解析功能存在安全漏洞,該漏洞源于程序在解析mDNS消息中的壓縮標簽時,不會檢查‘rr_decode’函數的返回值。攻擊者可利用該漏洞執行任意代碼。


CVE-2020-6073

Videolabs libmicrodns 0.1.0的TXT記錄解析功能存在輸入驗證錯誤漏洞。該漏洞源于網絡系統或產品未對輸入的數據進行正確的驗證。


CVE-2020-6077

Videolabs libmicrodns 0.1.0的消息解析功能中存在可利用的拒絕服務漏洞。該漏洞源于解析mDNS消息時,實現無法正確跟蹤消息中的可用數據,可能會導致超出范圍的讀取,從而導致拒絕服務。


CVE-2020-6078

Videolabs libmicrodns 0.1.0版本中的消息解析功能存在安全漏洞,該漏洞源于在解析mDNS消息時,程序未檢查‘mdns_read_header’函數的返回值。攻擊者可通過發送一系列消息利用該漏洞導致服務崩潰。


CVE-2020-6079, CVE-2020-6080

Videolabs libmicrodns 0.1.0版本中的資源分配處理中存在資源管理錯誤。該漏洞源于網絡系統或產品對系統資源(如內存、磁盤空間、文件等)的管理不當。


漏洞驗證


暫無PoC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,連接:https://github.com/videolabs/libmicrodns。


參考鏈接


https://blog.talosintelligence.com/2020/03/vuln-spotlight-videolabs-microdns.html


上一篇 下一篇