Рекомендация Debian по безопасности

DSA-2165-1 ffmpeg-debian -- переполнение буфера

Дата сообщения:
16.02.2011
Затронутые пакеты:
ffmpeg-debian
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2010-3429, CVE-2010-4704, CVE-2010-4705.
Более подробная информация:

Было обнаружено несколько уязвимостей в кодерах FFmpeg, которые используются в MPlayer и других приложениях.

  • CVE-2010-3429

    Cesar Bernardini и Felipe Andres Manzano сообщили о произвольном смещении оператора разыменования в libavcodec, в частности в анализаторе формата файла FLIC. С помощью специально созданного FLIC-файл можно выполнить произвольный код. Mplayer также подвержен этой проблеме, как и другое программное обеспечение, использующее эту библиотеку.

  • CVE-2010-4704

    Greg Maxwell обнаружил целочисленное переполнение декодера Vorbis в FFmpeg. С помощью специально созданного Ogg-файла можно выполнить произвольный код.

  • CVE-2010-4705

    Было обнаружено возможное целочисленное переполнение декодера Vorbis в FFmpeg.

Это обновление также исправляет неполный патч из DSA-2000-1. Michael Gilbert сообщил, что там остались уязвимости, которые могут привести к отказу в обслуживании и возможному выполнению произвольного кода.

В прошлом стабильном дистрибутиве (Lenny) эта проблема была исправлена в версии 0.svn20080206-18+lenny3.

Мы рекомендуем вам обновить пакеты ffmpeg-debian.