Рекомендация Debian по безопасности

DSA-3957-1 ffmpeg -- обновление безопасности

Дата сообщения:
28.08.2017
Затронутые пакеты:
ffmpeg
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2017-9608, CVE-2017-9993, CVE-2017-11399, CVE-2017-11665, CVE-2017-11719.
Более подробная информация:

В FFmpeg, проигрывателе, сервере и кодировщике мультимедиа, было обнаружено несколько уязвимостей. Эти проблемы могут приводить к отказу в обслуживании, а в некоторых ситуациях к выполнению произвольного кода.

  • CVE-2017-9608

    Ихань Лянь из Qihoo 360 GearTeam обнаружил доступ к NULL-указателю во время выполнения грамматического разбора специально сформированного файла в формате MOV.

  • CVE-2017-9993

    Тьери Фуку обнаружил возможность вызвать утечку информации из файлов и символьных ссылок, имеющих типовые расширения мультимедиа-файлов, при использовании живого вещания через HTTP.

  • CVE-2017-11399

    Лю Бинчан из IIE обнаружил переполнение целых чисел в коде декодирования APE, которое может быть вызвано специально сформированным файлом в формате APE.

  • CVE-2017-11665

    Цзюньдун Се из Ant-financial Light-Year Security Lab обнаружил, что злоумышленник, способный подделать RTMP-поток, может аварийно завершить работу FFmpeg.

  • CVE-2017-11719

    Лю Бинчан из IIE обнаружил доступ за пределы выделенного буфера памяти, который может быть вызван специально сформированным файлом в формате DNxHD.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 7:3.2.7-1~deb9u1.

Рекомендуется обновить пакеты ffmpeg.