Информация по безопасности / 2011 / Информация о безопасности -- DSA-2165-1 ffmpeg-debian

Рекомендация Debian по безопасности

DSA-2165-1 ffmpeg-debian -- переполнение буфера

Дата сообщения:

16.02.2011

Затронутые пакеты:

ffmpeg-debian

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2010-3429, CVE-2010-4704, CVE-2010-4705.

Более подробная информация:

Было обнаружено несколько уязвимостей в кодерах FFmpeg, которые используются в MPlayer и других приложениях.

• CVE-2010-3429

  Cesar Bernardini и Felipe Andres Manzano сообщили о произвольном смещении оператора разыменования в libavcodec, в частности в анализаторе формата файла FLIC. С помощью специально созданного FLIC-файл можно выполнить произвольный код. Mplayer также подвержен этой проблеме, как и другое программное обеспечение, использующее эту библиотеку.

• CVE-2010-4704

  Greg Maxwell обнаружил целочисленное переполнение декодера Vorbis в FFmpeg. С помощью специально созданного Ogg-файла можно выполнить произвольный код.

• CVE-2010-4705

  Было обнаружено возможное целочисленное переполнение декодера Vorbis в FFmpeg.

Это обновление также исправляет неполный патч из DSA-2000-1. Michael Gilbert сообщил, что там остались уязвимости, которые могут привести к отказу в обслуживании и возможному выполнению произвольного кода.

В прошлом стабильном дистрибутиве (Lenny) эта проблема была исправлена в версии 0.svn20080206-18+lenny3.

Мы рекомендуем вам обновить пакеты ffmpeg-debian.