BUGTRAQ ID: 32356
CVE(CAN) ID: CVE-2008-4829
StreamRipper能够将网上的MP3流媒体保存到硬盘中,特别适合录制网络MP3广播。
Streamripper的lib/http.c文件中的http_parse_sc_header()函数在解析以Zwitterion v开始的超长HTTP头时、http_get_pls()函数在解析包含有超长项的特制pls播放列表时、http_get_m3u()函数在解析包含有超长File项的特制m3u播放列表时存在缓冲区溢出漏洞。如果用户受骗连接到了恶意的服务器并加载了恶意的媒体文件的话,就可以触发这些溢出,导致执行任意指令。
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
<a href=“http://streamripper.sourceforge.net/” target=“_blank”>http://streamripper.sourceforge.net/</a>