Säkerhetsbulletin från Debian

DSA-2336-1 ffmpeg -- flera sårbarheter

Rapporterat den:
2011-11-07
Berörda paket:
ffmpeg
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 641478.
I Mitres CVE-förteckning: CVE-2011-3362, CVE-2011-3973, CVE-2011-3974, CVE-2011-3504.
Ytterligare information:

Flera sårbarheter har upptäckts i FFmpeg, en multimediaspelare, -server och avkodare:

  • CVE-2011-3362

    Ett problem med heltalsvärden i funktionen decode_residual_block i avkodaren av Chinese AVS-video (CAVS) i libavcodec kan leda till överbelastning (minneskorruption och applikationskrasch) eller möjligen kodexekvering via en skapad CAVS-fil.

  • CVE-2011-3973/CVE-2011-3974

    Flera fel i Chinese AVS video (CAVS)-avkodaren kan leda till överbelastning (minneskorruption och applikationskrasch) via en ogiltig bitström.

  • CVE-2011-3504

    Ett minnesallokeringsproblem i dekodern av Matroska-formatet kan leda till kodexekvering via en skapad fil.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 4:0.5.5-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 4:0.7.2-1 av källkodspaketet libav.

Säkerhetsstöd för ffmpeg har avslutats för den gamla stabila utgåvan (Lenny) före DSA 2306. Den aktuella versionen i oldstable stöds inte längre uppströms och påverkas av flera säkerhetsproblem. Att bakåtanpassa rättningar för dessa och alla framtida problem har blivit omöjligt och därmed var vi tvungna att avbryta vårt säkerhetsstöd för versionen i gamla stabila utgåvan.

Vi rekommenderar att ni uppgraderar era ffmpeg-paket.