VLC 媒体播放器 libmicrodns 库多个误差危害通告

宣布时间 2020-03-26

误差编号和级别


CVE编号:CVE-2020-6071,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定

CVE编号:CVE-2020-6072,危险级别:严重,CVSS分值:厂商自评:9.8,官方未评定

CVE编号:CVE-2020-6073,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定

CVE编号:CVE-2020-6077,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定

CVE编号:CVE-2020-6078,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定

CVE编号:CVE-2020-6079,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定

CVE编号:CVE-2020-6080,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定


影响版本


libmicrodns库版本0.1.0


误差概述


克日,思科Talos的清静研究职员披露Videolabs的libmicrodns库中的多个DoS和代码执行误差。Videolabs由VideoLAN成员建设,是VLC移动应用程序的目今编辑者,也是VLC媒体播放器的主要孝顺者。libmicrodns是跨平台的mDNS剖析器库,在VLC媒体播放器中用于mDNS服务发明。误差概述如下:


CVE-2020-6071

Videolabs libmicrodns 0.1.0版本中的资源纪录剖析功效保存清静误差,该误差源于程序在剖析mDNS新闻中的压缩标签时,没有举行递归检查便直接使用压缩指针。攻击者可使用该误差造成拒绝服务。


CVE-2020-6072

Videolabs libmicrodns 0.1.0版本中的标签剖析功效保存清静误差,该误差源于程序在剖析mDNS新闻中的压缩标签时,不会检查‘rr_decode’函数的返回值。攻击者可使用该误差执行恣意代码。


CVE-2020-6073

Videolabs libmicrodns 0.1.0的TXT纪录剖析功效保存输入验证过失误差。该误差源于网络系统或产品未对输入的数据举行准确的验证。


CVE-2020-6077

Videolabs libmicrodns 0.1.0的新闻剖析功效中保存可使用的拒绝服务误差。该误差源于剖析mDNS新闻时,实现无法准确跟踪新闻中的可用数据,可能会导致凌驾规模的读取,从而导致拒绝服务。


CVE-2020-6078

Videolabs libmicrodns 0.1.0版本中的新闻剖析功效保存清静误差,该误差源于在剖析mDNS新闻时,程序未检查‘mdns_read_header’函数的返回值。攻击者可通过发送一系列新闻使用该误差导致服务瓦解。


CVE-2020-6079, CVE-2020-6080

Videolabs libmicrodns 0.1.0版本中的资源分派处置惩罚中保存资源治理过失。该误差源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的治理不当。


误差验证


暂无PoC/EXP。


修复建议


现在厂商已宣布升级补丁以修复误差,毗连:https://github.com/videolabs/libmicrodns。


参考链接


https://blog.talosintelligence.com/2020/03/vuln-spotlight-videolabs-microdns.html