Debians sikkerhedsbulletin

DSA-2336-1 ffmpeg -- flere sårbarheder

Rapporteret den:
7. nov 2011
Berørte pakker:
ffmpeg
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 641478.
I Mitres CVE-ordbog: CVE-2011-3362, CVE-2011-3973, CVE-2011-3974, CVE-2011-3504.
Yderligere oplysninger:

Flere sårbarheder blev fundet i FFmpeg, en multimedieafspiller, -server og encoder:

  • CVE-2011-3362

    En heltalsfortegnfejl i funktionen decode_residual_block i Chinese AVS-videodekoderen (CAVS) i libavcodec kunne føre til lammelsesangreb (hukommelseskorruption og applikationsnedbrud) eller muligvis udførelse af kode via en fabrikeret CAVS-fil.

  • CVE-2011-3973/CVE-2011-3974

    Flere fejl i Chinese AVS-videodekoderen (CAVS) kunne føre til lammelsesangreb (hukommelseskorruption og applikationsnedbrud) via en ugyldig bitstream.

  • CVE-2011-3504

    Et hukommelsesallokeringsproblem i dekoderen til Matroska-formatet kunne føre til udførelse af kode via en fabrikeret fil.

I den stabile distribution (squeeze), er dette problem rettet i version 4:0.5.5-1.

I den ustabile distribution (sid), er dette problem rettet i version 4:0.7.2-1 af libav-kildekodepakken.

Sikkerhedsunderstøttelse af ffmpeg er ophørt i den gamle stabile distribution (lenny) fra DSA 2306. Den aktuelle version i den gamle stabile distribution er ikke længere understøttet af opstrømsudviklerne, og den er påvirket af flere sikkerhedsproblemer. Tilbageførelse af rettelserne af disse og eventuelt fremtidige problemer kan ikke længere betale sig, hvorfor vi er nødt til at droppe sikkerhedsunderstøttelsen af versionen i den gamle stabile distribution.

Vi anbefaler at du opgraderer dine ffmpeg-pakker.