Debian セキュリティ勧告

DSA-2336-1 ffmpeg -- 複数の脆弱性

報告日時:
2011-11-07
影響を受けるパッケージ:
ffmpeg
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 641478.
Mitre の CVE 辞書: CVE-2011-3362, CVE-2011-3973, CVE-2011-3974, CVE-2011-3504.
詳細:

マルチメディアプレーヤ/サーバ/エンコーダ ffmpeg に、複数の問題が発見 されました。The Common Vulnerabilities and Exposures project は以下 の問題を認識しています。

  • CVE-2011-3362

    libavcodec の Chinese AVS video (CAVS) デコーダの decode_residual_block 関数に整数符号誤りがあり、細工した CAVS フ ァイルによるサービス拒否攻撃 (メモリ破壊とアプリケーションクラッ シュ) や任意のコードの実行の可能性があります。

  • CVE-2011-3973/CVE-2011-3974

    Chinese AVS video (CAVS) デコーダに複数の処理誤りがあり、不正なビ ットストリームによるサービス拒否攻撃 (メモリ破壊とアプリケーショ ンクラッシュ) の可能性があります。

  • CVE-2011-3504

    Matroska フォーマットデコーダにメモリ割り当てミスがあり、細工した ファイルによるコードの実行に繋がります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 4:0.5.5-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 4:0.7.2-1 of the libav source package で修正されています。

旧安定版ディストリビューション (lenny) での ffmpeg へのセキュリティ サポートは、DSA 2306 で打ち切られました。 旧安定版収録の版は、上流でサポートされておらず、複数のセキュリティ欠 陥が存在します。これらの修正や、将来の問題の修正をバックポートするこ とはこんなんで、旧安定版のセキュリティサポートを打ち切らざるを得ませ んでした。

直ぐに ffmpeg パッケージをアップグレードすることを勧めます。