Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2165-1 ffmpeg-debian

Debians sikkerhedsbulletin

DSA-2165-1 ffmpeg-debian -- bufferoverløb

Rapporteret den:

16. feb 2011

Berørte pakker:

ffmpeg-debian

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2010-3429, CVE-2010-4704, CVE-2010-4705.

Yderligere oplysninger:

Flere sårbarheder er opdaget i FFmpeg-coders, der anvendes af MPlayer og andre applikationer.

• CVE-2010-3429

  Cesar Bernardini og Felipe Andres Manzano rapporterede om en sårbarhed i forbindelse med vilkårligt offset-dereference i libavcodec, i særdeleshed i fortolkeren af filformatet FLIC. En specifik FLIC-fil kunne udnytte sårbarheden til at udføre vilkårlig kode. MPlayer var også påvirket af problemet, foruden anden software, som anvender biblioteket.

• CVE-2010-4704

  Greg Maxwell opdagede et heltalsoverløb i Vorbis-dekoderen i FFmpeg. En specifik Ogg-fil kunne udnytte sårbarheder til at udføre vilkårlig kode.

• CVE-2010-4705

  Et potentielt heltalsoverløb blev opdaget i Vorbis-dekoderen i FFmpeg.

Opdateringen retter også en ukomplet patch fra DSA-2000-1. Michael Gilbert bemærkede at der være tilbageværende sårbarheder, der måske kunne forårsage et lammelsesangreb (denial of service) og potentielt udførelse af vilkårlig kode.

I den gamle stabile distribution (lenny), er dette problem rettet i version 0.svn20080206-18+lenny3.

Vi anbefaler at du opgraderer dine ffmpeg-debian-pakker.