Debian セキュリティ勧告

DSA-2306-1 ffmpeg -- 複数の脆弱性

報告日時:
2011-09-11
影響を受けるパッケージ:
ffmpeg
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 611495.
Mitre の CVE 辞書: CVE-2010-3908, CVE-2010-4704, CVE-2011-0480, CVE-2011-0722, CVE-2011-0723.
詳細:

マルチメディアプレーヤ/サーバ/エンコーダ ffmpeg に、複数の問題が発見 されました。The Common Vulnerabilities and Exposures project は以下 の問題を認識しています。

  • CVE-2010-3908

    FFmpeg 0.5.4 以前に、リモートの攻撃者からの不正な形式の WMV ファ イルによるサービス拒否攻撃 (メモリ破壊とアプリケーションクラッシ ュ) や任意のコードの実行を許す欠陥があります。

  • CVE-2010-4704

    ffmpeg の Vorbis デコーダに、vorbis_floor0_decode 関数関連で、リ モートの攻撃者からの細工した .ogg ファイルによるサービス拒否攻撃 (アプリケーションクラッシュ) を許す欠陥があります。

  • CVE-2011-0480

    ffmpeg の Vorbis デコーダの vorbis_dec.c に複数のバッファオーバフ ロー箇所があり、リモートの攻撃者からの不正な形式の WebM ファイル によるサービス拒否攻撃 (メモリ破壊とアプリケーションクラッシュ) や任意のコードの実行を許す欠陥があります。この欠陥はチャネルフロア とチャネル剰余に関係しています。

  • CVE-2011-0722

    FFmpeg に、リモートの攻撃者からの不正な形式の RealMedia ファイルに よるサービス拒否攻撃 (メモリ破壊とアプリケーションクラッシュ) や任 意のコードの実行を許す欠陥があります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 4:0.5.4-1 で修正されています。

旧安定版ディストリビューション (lenny) での ffmpeg へのセキュリティサ ポートは打ち切られました。 旧安定版収録の版は、上流でサポートされておらず、複数のセキュリティ 陥が存在します。これらの修正や、将来の問題の修正をバックポートするこ とはこんなんで、旧安定版のセキュリティサポートを打ち切らざるを得ませ んでした。

直ぐに ffmpeg パッケージをアップグレードすることを勧めます。