セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2165-1 ffmpeg-debian

Debian セキュリティ勧告

DSA-2165-1 ffmpeg-debian -- バッファオーバフロー

報告日時:

2011-02-16

影響を受けるパッケージ:

ffmpeg-debian

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2010-3429, CVE-2010-4704, CVE-2010-4705.

詳細:

Mplayer や他のアプリケーションで利用されている FFmpeg コーダに、複数の問 題が発見されました。

• CVE-2010-3429

  Cesar Bernardini さんと Felipe Andres Manzano さんにより、libavcodec の FLIC ファイル形式のパーザに任意のオフセット値による参照が可能な欠陥が発 見されました。細工した FLIC 形式のファイルにより攻撃でき、任意のコード が実行可能です。Mplayer にはこの問題があり、このライブラリを用いる他の ソフトウェアも同様でしょう。

• CVE-2010-4704

  Greg Maxwell さんにより、FFmpeg の Vorbis デコーダに整数オーバフローが 発見されました。細工した Ogg 形式のファイルにより攻撃でき、任意のコード が実行可能です。

• CVE-2010-4705

  FFmpeg の Vorbis デコーダに整数オーバフローの可能性があることが発見され ました。

この更新では、DSA-2000-1 での不完全なパッチの修正も行っています。Michael Gilbert さんにより、サービス拒否攻撃が可能で、さらに任意のコードの実行が 行える可能性のある欠陥が残っていることが発見されました。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題はバー ジョン 0.svn20080206-18+lenny3 で修正されています。

直ぐに ffmpeg-debian パッケージをアップグレードすることを勧めます。