低危 VideoLAN VLC media player 安全漏洞

CVE编号

CVE-2020-26664

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-01-09

漏洞描述

VideoLAN VLC media player是法国Videolan组织的一款免费、开源的跨平台多媒体播放器（也是一个多媒体框架）。该产品支持播放多种介质（文件、光盘等）、多种音视频格式（WMV,MP3等）等。 VideoLAN VLC media player 3.0.11版本存在缓冲区溢出漏洞，该漏洞允许攻击者通过精心制作的.mkv文件触发基于堆的缓冲区溢出。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：http://www.videolan.org/

参考链接
http://videolan.com
http://vlc.com
https://gist.githubusercontent.com/henices/db11664dd45b9f322f8514d182aef5ea/r...
https://lists.debian.org/debian-lts-announce/2022/06/msg00012.html
https://security.gentoo.org/glsa/202101-37
https://www.debian.org/security/2021/dsa-4834

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	videolan	vlc_media_player	3.0.11	-
	运行在以下环境
	系统	alpine_3.12	vlc	*		Up to (excluding) 3.0.12-r0
	运行在以下环境
	系统	alpine_3.13	vlc	*		Up to (excluding) 3.0.12-r0
	运行在以下环境
	系统	alpine_3.14	vlc	*		Up to (excluding) 3.0.12-r0
	运行在以下环境
	系统	alpine_3.15	vlc	*		Up to (excluding) 3.0.12-r0
	运行在以下环境
	系统	alpine_3.16	vlc	*		Up to (excluding) 3.0.12-r0
	运行在以下环境
	系统	alpine_3.17	vlc	*		Up to (excluding) 3.0.12-r0
	运行在以下环境
	系统	alpine_3.18	vlc	*		Up to (excluding) 3.0.12-r0
	运行在以下环境
	系统	alpine_edge	vlc	*		Up to (excluding) 3.0.12-r0
	运行在以下环境
	系统	debian_10	vlc	*		Up to (excluding) 3.0.12-0+deb10u1
	运行在以下环境
	系统	debian_11	vlc	*		Up to (excluding) 3.0.12-1
	运行在以下环境
	系统	debian_12	vlc	*		Up to (excluding) 3.0.12-1
	运行在以下环境
	系统	debian_9	vlc	*		Up to (excluding) 3.0.12-0+deb9u1
	运行在以下环境
	系统	debian_sid	vlc	*		Up to (excluding) 3.0.12-1
	运行在以下环境
	系统	opensuse_Leap_15.1	vlc-devel	*		Up to (excluding) 3.0.11.1-lp151.6.12.1
	运行在以下环境
	系统	opensuse_Leap_15.2	vlc-devel	*		Up to (excluding) 3.0.13-lp152.2.12.1

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-787	跨界内存写

Exp相关链接

- avd.aliyun.com