Debians sikkerhedsbulletin

DSA-3957-1 ffmpeg -- sikkerhedsopdatering

Rapporteret den:
28. aug 2017
Berørte pakker:
ffmpeg
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2017-9608, CVE-2017-9993, CVE-2017-11399, CVE-2017-11665, CVE-2017-11719.
Yderligere oplysninger:

Flere sårbarheder er opdaget i FFmpeg, en multimedieafspiller, -server og -encoder. Problemer kunne føre til lammelsesangreb og i nogle situationer udførelse af vilkårlig kode.

  • CVE-2017-9608

    Yihan Lian fra Qihoo 360 GearTeam opdagede en NULL-pointertilgang, når der blev fortolket en fabrikeret MOV-fil.

  • CVE-2017-9993

    Thierry Foucu opdagede at det var muligt at lække oplysninger fra filer og symlinks, der slutter på en almindelig multimediaudvidelse, ved hjælp af HTTP Live Streaming.

  • CVE-2017-11399

    Liu Bingchang fra IIE opdagede et heltalsoverløb i APE-dekoderen, som kunne udløses af en fabrikeret APE-fil.

  • CVE-2017-11665

    JunDong Xie fra Ant-financial Light-Year Security Lab opdagede at en angriber, som er i stand til at fabrikere en RTMP-stream, kunne få FFmpeg til at gå ned.

  • CVE-2017-11719

    Liu Bingchang fra IIE opdagede at en tilgang uden for grænserne, kunne udløses af en fabrikeret DNxHD-fil.

I den stabile distribution (stretch), er disse problemer rettet i version 7:3.2.7-1~deb9u1.

Vi anbefaler at du opgraderer dine ffmpeg-pakker.