Säkerhetsbulletin från Debian

DSA-3957-1 ffmpeg -- säkerhetsuppdatering

Rapporterat den:
2017-08-28
Berörda paket:
ffmpeg
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2017-9608, CVE-2017-9993, CVE-2017-11399, CVE-2017-11665, CVE-2017-11719.
Ytterligare information:

Flera sårbarheter har upptäckts i FFmpeg, en multimediaspelare, server och kodare. Dessa problem kunde leda till överbelastning, och, i vissa situationer, exekvering av godtycklig kod.

  • CVE-2017-9608

    Yihan Lian från Qihoo 360 GearTeam upptäckte en NULL-pekarreferens vid tolkning av en skapad MOV-fil.

  • CVE-2017-9993

    Thierry Foucu upptäckte att det var möjligt att läcka information från filer och symboliska länkar med filändelser enligt vanliga multimediaformat, med hjälp av HTTP-Liveströmning.

  • CVE-2017-11399

    Liu Bingchang från IIE upptäckte ett heltalsspill i APE-avkodaren som kan triggas med hjälp av en skapad APE-fil.

  • CVE-2017-11665

    JunDong Xie från Ant-financial Light-Year Security Lab upptäckte att en angripare med möjlighet att skapa en RTMP-ström kan krascha FFmpeg.

  • CVE-2017-11719

    Liu Bingchang från IIE upptäckte ett åtkomstförsök utanför gränserna som kan triggas med hjälp av en skapad DNxHD-fil.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 7:3.2.7-1~deb9u1.

Vi rekommenderar att ni uppgraderar era ffmpeg-paket.