Debian DLA-1611-2:libav 安全更新

high Nessus 插件 ID 119816

简介

远程 Debian 主机缺少安全更新。

描述

此外还修正了 libav 多媒体库中的两个安全问题。这是对 DLA-1611-1 公告的后续更新。CVE-2015-6823 libavcodec/alac.c 中的 allocate_buffers 函数未初始化某些环境数据,这允许远程攻击者通过构建的 Apple Lossless Audio Codec (ALAC) 数据造成拒绝服务(分段冲突)或可能造成其他不明影响。此问题现已通过清除 avcodec/alac.c 的 allocate_buffers() 中的指针来解决。除了 debian/上传更新 6:11.12-1~deb8u2 的变更日志中所述的方法外,目前此问题只能通过上传更新 6:11.12-1~deb8u3 修复。CVE-2015-6824 libswscale/utils.c 中的 sws_init_context 函数未初始化某些 pixbuf 数据结构,这允许远程攻击者通过构建的视频数据造成拒绝服务(分段冲突)或可能造成其他不明影响。swscale/utils.c 中现已清除这些 pix 缓冲区,因此修复了未初始化内存的使用。除了 debian/上传更新 6:11.12-1~deb8u2 的变更日志中所述的方法外,目前此问题只能通过上传更新 6:11.12-1~deb8u3 修复。对于 Debian 8“Jessie”,这些问题已在 6:11.12-1~deb8u3 版本中修复。建议您升级 libav 程序包。注意:Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下,尽可能进行自动整理和排版。

解决方案

升级受影响的程序包。

另见

https://lists.debian.org/debian-lts-announce/2018/12/msg00010.html

https://packages.debian.org/source/jessie/libav

插件详情

严重性: High

ID: 119816

文件名: debian_DLA-1611.nasl

版本: 1.4

类型: local

代理: unix

发布时间: 2018/12/21

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:libav-dbg, p-cpe:/a:debian:debian_linux:libav-doc, p-cpe:/a:debian:debian_linux:libav-tools, p-cpe:/a:debian:debian_linux:libavcodec-dev, p-cpe:/a:debian:debian_linux:libavcodec-extra, p-cpe:/a:debian:debian_linux:libavcodec-extra-56, p-cpe:/a:debian:debian_linux:libavcodec56, p-cpe:/a:debian:debian_linux:libavdevice-dev, p-cpe:/a:debian:debian_linux:libavdevice55, p-cpe:/a:debian:debian_linux:libavfilter-dev, p-cpe:/a:debian:debian_linux:libavfilter5, p-cpe:/a:debian:debian_linux:libavformat-dev, p-cpe:/a:debian:debian_linux:libavformat56, p-cpe:/a:debian:debian_linux:libavresample-dev, p-cpe:/a:debian:debian_linux:libavresample2, p-cpe:/a:debian:debian_linux:libavutil-dev, p-cpe:/a:debian:debian_linux:libavutil54, p-cpe:/a:debian:debian_linux:libswscale-dev, p-cpe:/a:debian:debian_linux:libswscale3, cpe:/o:debian:debian_linux:8.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2018/12/21

漏洞发布日期: 2015/9/6

参考资料信息

CVE: CVE-2015-6822, CVE-2015-6823, CVE-2015-6824