Debian セキュリティ勧告

DSA-2165-1 ffmpeg-debian -- バッファオーバフロー

報告日時:
2011-02-16
影響を受けるパッケージ:
ffmpeg-debian
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2010-3429, CVE-2010-4704, CVE-2010-4705.
詳細:

Mplayer や他のアプリケーションで利用されている FFmpeg コーダに、複数の問 題が発見されました。

  • CVE-2010-3429

    Cesar Bernardini さんと Felipe Andres Manzano さんにより、libavcodec の FLIC ファイル形式のパーザに任意のオフセット値による参照が可能な欠陥が発 見されました。細工した FLIC 形式のファイルにより攻撃でき、任意のコード が実行可能です。Mplayer にはこの問題があり、このライブラリを用いる他の ソフトウェアも同様でしょう。

  • CVE-2010-4704

    Greg Maxwell さんにより、FFmpeg の Vorbis デコーダに整数オーバフローが 発見されました。細工した Ogg 形式のファイルにより攻撃でき、任意のコード が実行可能です。

  • CVE-2010-4705

    FFmpeg の Vorbis デコーダに整数オーバフローの可能性があることが発見され ました。

この更新では、DSA-2000-1 での不完全なパッチの修正も行っています。Michael Gilbert さんにより、サービス拒否攻撃が可能で、さらに任意のコードの実行が 行える可能性のある欠陥が残っていることが発見されました。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題はバー ジョン 0.svn20080206-18+lenny3 で修正されています。

直ぐに ffmpeg-debian パッケージをアップグレードすることを勧めます。