セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2306-1 ffmpeg

Debian セキュリティ勧告

DSA-2306-1 ffmpeg -- 複数の脆弱性

報告日時:

2011-09-11

影響を受けるパッケージ:

ffmpeg

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 611495.
Mitre の CVE 辞書: CVE-2010-3908, CVE-2010-4704, CVE-2011-0480, CVE-2011-0722, CVE-2011-0723.

詳細:

マルチメディアプレーヤ/サーバ/エンコーダ ffmpeg に、複数の問題が発見 されました。The Common Vulnerabilities and Exposures project は以下 の問題を認識しています。

• CVE-2010-3908

  FFmpeg 0.5.4 以前に、リモートの攻撃者からの不正な形式の WMV ファ イルによるサービス拒否攻撃 (メモリ破壊とアプリケーションクラッシ ュ) や任意のコードの実行を許す欠陥があります。

• CVE-2010-4704

  ffmpeg の Vorbis デコーダに、vorbis_floor0_decode 関数関連で、リ モートの攻撃者からの細工した .ogg ファイルによるサービス拒否攻撃 (アプリケーションクラッシュ) を許す欠陥があります。

• CVE-2011-0480

  ffmpeg の Vorbis デコーダの vorbis_dec.c に複数のバッファオーバフ ロー箇所があり、リモートの攻撃者からの不正な形式の WebM ファイル によるサービス拒否攻撃 (メモリ破壊とアプリケーションクラッシュ) や任意のコードの実行を許す欠陥があります。この欠陥はチャネルフロア とチャネル剰余に関係しています。

• CVE-2011-0722

  FFmpeg に、リモートの攻撃者からの不正な形式の RealMedia ファイルに よるサービス拒否攻撃 (メモリ破壊とアプリケーションクラッシュ) や任 意のコードの実行を許す欠陥があります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 4:0.5.4-1 で修正されています。

旧安定版ディストリビューション (lenny) での ffmpeg へのセキュリティサ ポートは打ち切られました。 旧安定版収録の版は、上流でサポートされておらず、複数のセキュリティ欠 陥が存在します。これらの修正や、将来の問題の修正をバックポートするこ とはこんなんで、旧安定版のセキュリティサポートを打ち切らざるを得ませ んでした。

直ぐに ffmpeg パッケージをアップグレードすることを勧めます。