LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2818-1 ffmpeg

Bulletin d'alerte Debian

DLA-2818-1 ffmpeg -- Mise à jour de sécurité pour LTS

Date du rapport :

14 novembre 2021

Paquets concernés :

ffmpeg

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-20445, CVE-2020-20446, CVE-2020-20451, CVE-2020-20453, CVE-2020-22037, CVE-2020-22041, CVE-2020-22044, CVE-2020-22046, CVE-2020-22048, CVE-2020-22049, CVE-2020-22054, CVE-2021-38171, CVE-2021-38291.

Plus de précisions :

Plusieurs problèmes ont été découverts dans ffmpeg − outils pour transcoder, diffuser et lire des fichiers multimédia.

• CVE-2020-20445

  Problème de division par zéro au moyen de libavcodec/lpc.h. Cela permet à un utilisateur distant malveillant de provoquer un déni de service.

• CVE-2020-20446

  Problème de division par zéro au moyen de libavcodec/aacpsy.c. Cela permet à un utilisateur distant malveillant de provoquer un déni de service.

• CVE-2020-20451

  Problème de déni service due à des erreurs de gestion de ressources au moyen de fftools/cmdutils.c.

• CVE-2020-20453

  Problème de division par zéro au moyen de libavcodec/aaccoder. Cela permet à un utilisateur distant malveillant de provoquer un déni de service.

• CVE-2020-22037

  Vulnérabilité de déni de service due à une fuite de mémoire dans options.c de avcodec_alloc_context3.

• CVE-2020-22041

  Vulnérabilité de déni de service due à une fuite de mémoire dans la fonction av_buffersrc_add_frame_flags dans buffersrc.

• CVE-2020-22044

  Vulnérabilité de déni de service due à une fuite de mémoire dans la fonction url_open_dyn_buf_internal dans libavformat/aviobuf.c.

• CVE-2020-22046

  Vulnérabilité de déni de service due à une fuite de mémoire dans la fonction avpriv_float_dsp_allocl dans libavutil/float_dsp.c.

• CVE-2020-22048

  Vulnérabilité de déni de service due à une fuite de mémoire dans la fonction ff_frame_pool_get dans framepool.c.

• CVE-2020-22049

  Vulnérabilité de déni de service due à une fuite de mémoire dans la fonction wtvfile_open_sector dans wtvdec.c.

• CVE-2020-22054

  Vulnérabilité de déni de service due à une fuite de mémoire dans la fonction av_dict_set dans dict.c.

• CVE-2021-38171

  adts_decode_extradata dans libavformat/adtsenc.c ne vérifie pas la valeur de retour d'init_get_bits, ce qui est une étape nécessaire parce que le second paramètre d'init_get_bits peut être contrefait.

• CVE-2021-38291

  Un échec d'assertion a été détecté dans src/libavutil/mathematics.c, interrompant ffmpeg. Dans certains cas extrêmes, comme avec des échantillons adpcm_ms avec un nombre de canaux extrêmement élevé, get_audio_frame_duration() peut renvoyer une valeur négative de durée de trame.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 7:3.2.16-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets ffmpeg.

Pour disposer d'un état détaillé sur la sécurité de ffmpeg, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/ffmpeg.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.