Рекомендация Debian по безопасности

DSA-2336-1 ffmpeg -- несколько уязвимостей

Дата сообщения:
07.11.2011
Затронутые пакеты:
ffmpeg
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 641478.
В каталоге Mitre CVE: CVE-2011-3362, CVE-2011-3973, CVE-2011-3974, CVE-2011-3504.
Более подробная информация:

В FFmpeg, проигрывателе мультимедиа, сервере и кодировщике, были обнаружены многочисленные уязвимости:

  • CVE-2011-3362

    Ошибка знаковости целых чисел в функции decode_residual_block для декодера видео в формате Chinese AVS (CAVS) в libavcodec может приводить к отказу в обслуживании (повреждение содержимого памяти и аварийная остановка приложения) или к возможному выполнению произвольного кода с помощью специально сформированного файла в формате CAVS.

  • CVE-2011-3973/CVE-2011-3974

    Многочисленные ошибки в декодере видео в формате Chinese AVS (CAVS) могут приводить к отказу в обслуживании (повреждение содержимого памяти и аварийная остановка приложения) из-за некорректного цифрового потока.

  • CVE-2011-3504

    Проблема с выделением памяти в декодере формата Matroska может приводить к выполнению произвольного кода при обработке специально сформированного файла.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 4:0.5.5-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 4:0.7.2-1 пакета с исходным кодом libav.

Поддержка безопасности ffmpeg в предыдущем стабильном выпуске (lenny) была прекращена ранее в DSA 2306. Текущая версия в предыдущем стабильном выпуске более не поддерживается разработчиками основной ветки разработки и содержит несколько проблем безопасности. Обратный перенос исправлений для этих и любых будущих проблем нецелесообразен, поэтому мы вынуждены прекратить поддержку безопасности для версии этого пакета из предыдущего стабильного выпуска.

Рекомендуется обновить пакеты ffmpeg.