Bulletin d'alerte Debian

DSA-2336-1 ffmpeg -- Plusieurs vulnérabilités

Date du rapport :
7 novembre 2011
Paquets concernés :
ffmpeg
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 641478.
Dans le dictionnaire CVE du Mitre : CVE-2011-3362, CVE-2011-3973, CVE-2011-3974, CVE-2011-3504.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le lecteur, serveur et encodeur multimédia FFmpeg.

  • CVE-2011-3362

    Une erreur d'entier signé dans la fonction decode_residual_block du décodeur vidéo CAVS (Chinese AVS) de libavcodec peut conduire à un déni de service (corruption de mémoire et plantage d'application) ou éventuellement à l'exécution de code à l'aide d'un fichier CAVS contrefait.

  • CVE-2011-3973, CVE-2011-3974

    Plusieurs erreurs dans le décodeur vidéo CAVS (Chinese AVS) peuvent conduire à un déni de service (corruption de mémoire et plantage d'application) à l'aide d'un flux non valable.

  • CVE-2011-3504

    Un problème d'allocation mémoire dans le décodeur de format Matroska peut conduire à l'exécution de code à l'aide d'un fichier contrefait.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4:0.5.5-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4:0.7.2-1 du paquet source libav.

Le suivi en sécurité de ffmpeg a été arrêté pour la distribution oldstable (Lenny) depuis la DSA 2306. L'actuelle version distribuée dans oldstable n'est plus suivie en amont et est concernée par plusieurs problèmes de sécurité. Le rétroportage des correctifs pour ces problèmes et ceux à venir est devenu impossible et par conséquent nous devons abandonner le suivi en sécurité pour la version distribuée dans oldstable.

Nous vous recommandons de mettre à jour vos paquets ffmpeg.