Bulletin d'alerte Debian

DSA-2306-1 ffmpeg -- Plusieurs vulnérabilités

Date du rapport :
11 septembre 2011
Paquets concernés :
ffmpeg
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 611495.
Dans le dictionnaire CVE du Mitre : CVE-2010-3908, CVE-2010-4704, CVE-2011-0480, CVE-2011-0722, CVE-2011-0723.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans FFmpeg, un lecteur, serveur, encodeur et transcodeur multimédia. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2010-3908

    Les versions de FFmeg précédant la 0.5.4, permettent aux attaquants distants de provoquer un déni de service (corruption de mémoire et plantage d'application) ou éventuellement exécuter du code arbitraire à l'aide d'un fichier WMV contrefait.

  • CVE-2010-4704

    libavcodec/vorbis_dec.c du décodeur Vorbis de FFmpeg permet aux attaquants distants de provoquer un déni de service (plantage d'application) à l'aide d'un fichier Ogg contrefait, lié à la fonction vorbis_floor0_decode.

  • CVE-2011-0480

    Plusieurs débordements de mémoire tampon dans vorbis_dec.c du décodeur Vorbis de FFmpeg permettent aux attaquants distants de provoquer un déni de service (corruption de mémoire et plantage d'application) ou éventuellement avoir d'autres conséquences indéterminés à l'aide d'un fichier WebM contrefait, liés aux tampons du plancher de canal et du résidu de canal.

  • CVE-2011-0722

    FFmpeg permet aux attaquants distants de provoquer un déni de service (corruption de mémoire de tas et plantage d'application) ou éventuellement exécuter du code arbitraire à l'aide d'un fichier RealMedia contrefait.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4:0.5.4-1.

Le suivi en sécurité de ffmpeg a été arrêté pour la distribution oldstable (Lenny). L'actuelle version distribuée dans oldstable n'est plus suivie en amont et est concernée par plusieurs problèmes de sécurité. Le rétroportage des correctifs pour ces problèmes et ceux à venir est devenu impossible et par conséquent nous devons abandonner le suivi en sécurité pour la version distribuée dans oldstable.

Nous vous recommandons de mettre à jour vos paquets ffmpeg.