Bulletin d'alerte Debian

DSA-3957-1 ffmpeg -- Mise à jour de sécurité

Date du rapport :
28 août 2017
Paquets concernés :
ffmpeg
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-9608, CVE-2017-9993, CVE-2017-11399, CVE-2017-11665, CVE-2017-11719.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le lecteur, serveur et encodeur multimédia FFmpeg. Ces problèmes pourraient conduire à un déni de service, et dans certaines conditions, à l'exécution de code arbitraire.

  • CVE-2017-9608

    Yihan Lian de Qihoo 360 GearTeam a découvert un accès à un pointeur NULL lors de l'analyse d'un fichier MOV contrefait.

  • CVE-2017-9993

    Thierry Foucu a découvert qu'il était possible de divulguer des informations à partir de fichiers et de liens symboliques dont le nom se termine par des extensions multimédia courantes, en se servant de flux HTTP en direct.

  • CVE-2017-11399

    Liu Bingchang de IIE a découvert un dépassement d'entier dans le décodeur APE qui peut être déclenché par un fichier APE contrefait.

  • CVE-2017-11665

    JunDong Xie de Ant-financial Light-Year Security Lab a découvert qu'un attaquant capable de contrefaire un flux RTMP peut faire planter FFmpeg.

  • CVE-2017-11719

    Liu Bingchang de IIE a découvert un accès hors limites qui peut être déclenché par un fichier DNxHD contrefait.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 7:3.2.7-1~deb9u1.

Nous vous recommandons de mettre à jour vos paquets ffmpeg.