Bulletin d'alerte Debian

DSA-2165-1 ffmpeg-debian -- Débordement de tampon

Date du rapport :
16 février 2011
Paquets concernés :
ffmpeg-debian
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2010-3429, CVE-2010-4704, CVE-2010-4705.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans les codeurs FFmpeg utilisés par MPlayer et d'autres applications.

  • CVE-2010-3429

    Cesar Bernardini et Felipe Andres Manzano ont signalé une vulnérabilité de déréférencement arbitraire d'adresse dans libavcodec, en particulier dans l'analyseur du format de fichier FLIC. Un fichier FLIC particulier pourrait utiliser cette vulnérabilité pour exécuter du code arbitraire. Mplayer est également affecté par ce problème, ainsi que les autres logiciels utilisant cette bibliothèque.

  • CVE-2010-4704

    Greg Maxwell a découvert un débordement d'entier dans le décodeur Vorbis de FFmpeg. Un fichier Ogg particulier pourrait utiliser cette vulnérabilité pour exécuter du code arbitraire.

  • CVE-2010-4705

    On a découvert un débordement d'entier possible dans le décodeur Vorbis de FFmpeg.

Cette mise à jour corrige également un correctif incomplet introduit en DSA-2000-1. Michael Gilbert a remarqué qu'il restait des vulnérabilités, ce qui peut provoquer un déni de service et éventuellement l'exécution de code arbitraire.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.svn20080206-18+lenny3.

Nous vous recommandons de mettre à jour vos paquets ffmpeg-debian.