首页 > 安全钻研 > 安全传递 > 安全公告

VLC 媒体播放器 libmicrodns 库多个缝隙风险公告

颁布功夫 2020-03-26

缝隙编号和级别

CVE编号：CVE-2020-6071，危险级别：高危，CVSS分值：厂商自评：7.5，官方未评定

CVE编号：CVE-2020-6072，危险级别：严沉，CVSS分值：厂商自评：9.8，官方未评定

CVE编号：CVE-2020-6073，危险级别：高危，CVSS分值：厂商自评：7.5，官方未评定

CVE编号：CVE-2020-6077，危险级别：高危，CVSS分值：厂商自评：7.5，官方未评定

CVE编号：CVE-2020-6078，危险级别：高危，CVSS分值：厂商自评：7.5，官方未评定

CVE编号：CVE-2020-6079，危险级别：高危，CVSS分值：厂商自评：7.5，官方未评定

CVE编号：CVE-2020-6080，危险级别：高危，CVSS分值：厂商自评：7.5，官方未评定

影响版本

libmicrodns库版本0.1.0

缝隙概述

近日，思科Talos的安全钻研人员披露Videolabs的libmicrodns库中的多个DoS和代码执行缝隙。Videolabs由VideoLAN成员缔造，是VLC移动利用法式确当前编纂者，也是VLC媒体播放器的沉要贡献者。libmicrodns是跨平台的mDNS解析器库，在VLC媒体播放器中用于mDNS服务发现。缝隙概述如下：

CVE-2020-6071

Videolabs libmicrodns 0.1.0版本中的资源纪录解析职能存在安全缝隙，该缝隙源于法式在解析mDNS新闻中的压缩标签时，没有进行递归查抄便直接使用压缩指针。攻击者可利用该缝隙造成回绝服务。

CVE-2020-6072

Videolabs libmicrodns 0.1.0版本中的标签解析职能存在安全缝隙，该缝隙源于法式在解析mDNS新闻中的压缩标签时，不会查抄‘rr_decode’函数的返回值。攻击者可利用该缝隙执行肆意代码。

CVE-2020-6073

Videolabs libmicrodns 0.1.0的TXT纪录解析职能存在输入验证谬误缝隙。该缝隙源于网络系统或产品未对输入的数据进行正确的验证。

CVE-2020-6077

Videolabs libmicrodns 0.1.0的新闻解析职能中存在可利用的回绝服务缝隙。该缝隙源于解析mDNS新闻时，实现无法正确跟踪新闻中的可用数据，可能会导致超出领域的读取，从而导致回绝服务。

CVE-2020-6078

Videolabs libmicrodns 0.1.0版本中的新闻解析职能存在安全缝隙，该缝隙源于在解析mDNS新闻时，法式未查抄‘mdns_read_header’函数的返回值。攻击者可通过发送一系列新闻利用该缝隙导致服务崩溃。

CVE-2020-6079, CVE-2020-6080

Videolabs libmicrodns 0.1.0版本中的资源分配处置中存在资源治理谬误。该缝隙源于网络系统或产品对系统资源（如内存、磁盘空间、文件等）的治理不当。

缝隙验证

暂无PoC/EXP。

建复建议

目前厂商已颁布升级补丁以建复缝隙，衔接：https://github.com/videolabs/libmicrodns。

参考链接

https://blog.talosintelligence.com/2020/03/vuln-spotlight-videolabs-microdns.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

VLC 媒体播放器 libmicrodns 库多个缝隙风险公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线