阿里云漏洞库

漏洞描述

Libmodplug是用于播放mod类音乐格式的开源函数库。

libmodplug存在整数溢出漏洞。由于程序未能正确的边界检查用户提供的输入，攻击者可以利用漏洞在受影响的应用程序的用户上下文中执行任意代码，失败的尝试可能会导致拒绝服务条件。

解决建议

目前没有详细解决方案提供：
http://modplug-xmms.sourceforge.net/

参考链接
http://blog.scrt.ch/2013/07/24/vlc-abc-parsing-seems-to-be-a-ctf-challenge/
http://secunia.com/advisories/54388
http://secunia.com/advisories/54695
http://www.debian.org/security/2013/dsa-2751
http://www.openwall.com/lists/oss-security/2013/08/10/3

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	konstanty_bialkowski	libmodplug	*		Up to (including) 0.8.8.4
	运行在以下环境
	应用	konstanty_bialkowski	libmodplug	0.8	-
	运行在以下环境
	应用	konstanty_bialkowski	libmodplug	0.8.4	-
	运行在以下环境
	应用	konstanty_bialkowski	libmodplug	0.8.5	-
	运行在以下环境
	应用	konstanty_bialkowski	libmodplug	0.8.6	-
	运行在以下环境
	应用	konstanty_bialkowski	libmodplug	0.8.7	-
	运行在以下环境
	应用	konstanty_bialkowski	libmodplug	0.8.8	-
	运行在以下环境
	应用	konstanty_bialkowski	libmodplug	0.8.8.1	-
	运行在以下环境
	应用	konstanty_bialkowski	libmodplug	0.8.8.2	-
	运行在以下环境
	应用	konstanty_bialkowski	libmodplug	0.8.8.3	-
	运行在以下环境
	系统	debian_10	libmodplug	*		Up to (excluding) 1:0.8.8.4-4
	运行在以下环境
	系统	debian_11	libmodplug	*		Up to (excluding) 1:0.8.8.4-4
	运行在以下环境
	系统	debian_12	libmodplug	*		Up to (excluding) 1:0.8.8.4-4
	运行在以下环境
	系统	debian_6	libmodplug	*		Up to (excluding) 1:0.8.8.1-1+squeeze2+git20130828
	运行在以下环境
	系统	debian_7	libmodplug	*		Up to (excluding) 1:0.8.8.4-3+deb7u1+git20130828
	运行在以下环境
	系统	fedora_EPEL_6	libmodplug	*		Up to (excluding) 0.8.8.5-1.el6
	运行在以下环境
	系统	suse_12	libmodplug1	*		Up to (excluding) 0.8.8.4-13
	运行在以下环境
	系统	suse_12_SP3	libmodplug1	*		Up to (excluding) 0.8.9.0
	运行在以下环境
	系统	ubuntu_14.04.6_lts	libmodplug	*		Up to (excluding) 1:0.8.8.4-4.1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	libmodplug	*		Up to (excluding) 1:0.8.8.5-2
	运行在以下环境
	系统	ubuntu_18.04.5_lts	libmodplug	*		Up to (excluding) 1:0.8.9.0-1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

传输被破坏
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-189	数值错误

低危 libmodplug整数溢出漏洞（CNVD-2013-12222）

漏洞描述

解决建议

参考链接

受影响软件情况