Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2306-1 ffmpeg

Debians sikkerhedsbulletin

DSA-2306-1 ffmpeg -- flere sårbarheder

Rapporteret den:

11. sep 2011

Berørte pakker:

ffmpeg

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 611495.
I Mitres CVE-ordbog: CVE-2010-3908, CVE-2010-4704, CVE-2011-0480, CVE-2011-0722, CVE-2011-0723.

Yderligere oplysninger:

Flere sårbarheder er opdaget i FFmpeg, en multimedieafspiller, -server og -encoder. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2010-3908

  FFmpeg før 0.5.4 gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (denial of service: hukommelseskorruption og applikationsnedbrud) eller muligvis udførelse af vilkårlig kode via en misdannet WMV-fil.

• CVE-2010-4704

  libavcodec/vorbis_dec.c i Vorbis-dekoderen i FFmpeg gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (applikationsnedbrud) via en fabrikeret Ogg-fil, relateret til funktionen vorbis_floor0_decode.

• CVE-2011-0480

  Flere bufferoverløb i vorbis_dec.c i Vorbis-dekoderen i FFmpeg gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (hukommeleseskorruption og applikationsnedbrud) eller muligvis anden ikke-angivet indvirkning via en fabrikeret WebM-fil, relateret til buffere til channel floor og channel residue.

• CVE-2011-0722

  FFmpeg gjorde det muligt for fjernangribere at foråsage et lammelsesangreb (heaphukommelseskorruption og applikationsnedbrud) eller muligvis udførelse af vilkårlig kode via en misdannet RealMedia-fil.

I den stabile distribution (squeeze), er dette problem rettet i version 4:0.5.4-1.

Sikkerhedsunderstøttelse af ffmpeg er ophørt i den gamle stabile distribution (lenny). Den aktuelle version i den gamle stabile distribution er ikke længere understøttet af opstrømsudviklerne, og den er påvirket af flere sikkerhedsproblemer. Tilbageførelse af rettelserne af disse og eventuelt fremtidige problemer kan ikke længere betale sig, hvorfor vi er nødt til at droppe sikkerhedsunderstøttelsen af versionen i den gamle stabile distribution.

Vi anbefaler at du opgraderer dine ffmpeg-pakker.