Debians sikkerhedsbulletin

DSA-2165-1 ffmpeg-debian -- bufferoverløb

Rapporteret den:
16. feb 2011
Berørte pakker:
ffmpeg-debian
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2010-3429, CVE-2010-4704, CVE-2010-4705.
Yderligere oplysninger:

Flere sårbarheder er opdaget i FFmpeg-coders, der anvendes af MPlayer og andre applikationer.

  • CVE-2010-3429

    Cesar Bernardini og Felipe Andres Manzano rapporterede om en sårbarhed i forbindelse med vilkårligt offset-dereference i libavcodec, i særdeleshed i fortolkeren af filformatet FLIC. En specifik FLIC-fil kunne udnytte sårbarheden til at udføre vilkårlig kode. MPlayer var også påvirket af problemet, foruden anden software, som anvender biblioteket.

  • CVE-2010-4704

    Greg Maxwell opdagede et heltalsoverløb i Vorbis-dekoderen i FFmpeg. En specifik Ogg-fil kunne udnytte sårbarheder til at udføre vilkårlig kode.

  • CVE-2010-4705

    Et potentielt heltalsoverløb blev opdaget i Vorbis-dekoderen i FFmpeg.

Opdateringen retter også en ukomplet patch fra DSA-2000-1. Michael Gilbert bemærkede at der være tilbageværende sårbarheder, der måske kunne forårsage et lammelsesangreb (denial of service) og potentielt udførelse af vilkårlig kode.

I den gamle stabile distribution (lenny), er dette problem rettet i version 0.svn20080206-18+lenny3.

Vi anbefaler at du opgraderer dine ffmpeg-debian-pakker.