VLC 媒体播放器 libmicrodns 库多个漏洞风险通告
发布时间 2020-03-26漏洞编号和级别
CVE编号:CVE-2020-6071,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定
CVE编号:CVE-2020-6072,危险级别:严重,CVSS分值:厂商自评:9.8,官方未评定
CVE编号:CVE-2020-6073,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定
CVE编号:CVE-2020-6077,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定
CVE编号:CVE-2020-6078,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定
CVE编号:CVE-2020-6079,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定
CVE编号:CVE-2020-6080,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定
影响版本
libmicrodns库版本0.1.0
漏洞概述
近日,思科Talos的安全研究人员披露Videolabs的libmicrodns库中的多个DoS和代码执行漏洞。Videolabs由VideoLAN成员创立,是VLC移动应用程序的当前编辑者,也是VLC媒体播放器的重要贡献者。libmicrodns是跨平台的mDNS解析器库,在VLC媒体播放器中用于mDNS服务发现。漏洞概述如下:
CVE-2020-6071
Videolabs libmicrodns 0.1.0版本中的资源记录解析功能存在安全漏洞,该漏洞源于程序在解析mDNS消息中的压缩标签时,没有进行递归检查便直接使用压缩指针。攻击者可利用该漏洞造成拒绝服务。
CVE-2020-6072
Videolabs libmicrodns 0.1.0版本中的标签解析功能存在安全漏洞,该漏洞源于程序在解析mDNS消息中的压缩标签时,不会检查‘rr_decode’函数的返回值。攻击者可利用该漏洞执行任意代码。
CVE-2020-6073
Videolabs libmicrodns 0.1.0的TXT记录解析功能存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。
CVE-2020-6077
Videolabs libmicrodns 0.1.0的消息解析功能中存在可利用的拒绝服务漏洞。该漏洞源于解析mDNS消息时,实现无法正确跟踪消息中的可用数据,可能会导致超出范围的读取,从而导致拒绝服务。
CVE-2020-6078
Videolabs libmicrodns 0.1.0版本中的消息解析功能存在安全漏洞,该漏洞源于在解析mDNS消息时,程序未检查‘mdns_read_header’函数的返回值。攻击者可通过发送一系列消息利用该漏洞导致服务崩溃。
CVE-2020-6079, CVE-2020-6080
Videolabs libmicrodns 0.1.0版本中的资源分配处理中存在资源管理错误。该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当。
漏洞验证
暂无PoC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,连接:https://github.com/videolabs/libmicrodns。
参考链接
https://blog.talosintelligence.com/2020/03/vuln-spotlight-videolabs-microdns.html