Säkerhetsbulletin från Debian

DSA-2306-1 ffmpeg -- flera sårbarheter

Rapporterat den:

2011-09-11

Berörda paket:

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 611495.
I Mitres CVE-förteckning: CVE-2010-3908, CVE-2010-4704, CVE-2011-0480, CVE-2011-0722, CVE-2011-0723.

Ytterligare information:

Flera sårbarheter har upptäckts i FFmpeg, en multimediaspelare, server och kodare. Projektet Common Vulnerabilities and Exposures identifierar följanade problem:

CVE-2010-3908
FFmpeg äldre än 0.5.4 tillåter fjärrangripare att orsaka en överbelastning (minneskorruption och applikationskrasch) eller möjligtvis körning av godtycklig kod via en felaktigt formatterad WMV-fil.
CVE-2010-4704
libavcodec/vorbis_dec.c i Vorbis-avkodaren i FFmpeg tillåter fjärrangripare att orsaka en överbelastning (applikationskrasch) via en skapad Ogg-fil, relaterat till funktionen vorbis_floor0_decode.
CVE-2011-0480
Flera buffertspill i vorbis_dec.c i Vorbis-avkodaren i FFmpeg tillåter fjärrangripare att orsaka en överbelastning (minneskorruption och applikationskrasch) eller möjligen annan ospecificerad åverkan genom en skapad WebM-fil, relaterat till buffrar för kanalgolvet och kanalöverskott.
CVE-2011-0722
FFmpeg tillåter fjärrangripare att orsaka en överbelastning (korruption av heap-minne samt applikationskrasch) eller möjligen körning av godtycklig kod via en felaktigt formatterad RealMedia-fil.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 4:0.5.4-1.

Säkerhetsstöd för ffmpeg har avslutats för den gamla stabila utgåvan (Lenny). Den aktuella versionen av gamla stabila utgåvan stöds inte uppströms längre och påverkas av flera säkerhetsproblem. Att bakåtanpassa rättningar för dessa och eventuella framtida problem är inte möjligt längre och därför måste vi avsluta säkerhetsstöd för versionen i gamla stabila utgåvan av Debian.

Vi rekommenderar att ni uppgraderar era ffmpeg-paket.