Debian DLA-3454-1:ffmpeg - LTS 安全更新
high Nessus 插件 ID 177254
语言:
简介
远程 Debian 主机上缺少一个或多个与安全性相关的更新。描述
远程 Debian 10 主机上安装的程序包受到 dla-3454 公告中提及的多个漏洞影响。- 在 FFmpeg 程序包中发现一个问题,libavcodec/vp3.c 中的 vp3_decode_frame 缺少对 av_malloc() 返回值的检查,并造成空指针取消引用,从而影响可用性。
(CVE-2022-3109)
- 在 libavformat/nutdec.c 文件中,decode_main_header() 函数的 FFmpeg' 中发现一个空指针取消引用问题。出现此缺陷的原因是该函数缺少对 avformat_new_stream() 返回值的检查并触发了空指针取消引用错误,从而导致应用程序崩溃。
(CVE-2022-3341)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 ffmpeg 程序包。对于 Debian 10 buster,已在版本 7 中修复这些问题
另见
https://security-tracker.debian.org/tracker/source-package/ffmpeg
https://www.debian.org/lts/security/2023/dla-3454
https://security-tracker.debian.org/tracker/CVE-2022-3109
插件详情
严重性: High
ID: 177254
文件名: debian_DLA-3454.nasl
版本: 1.0
类型: local
代理: unix
发布时间: 2023/6/13
最近更新时间: 2023/6/13
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 5.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS 分数来源: CVE-2022-3109
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:ffmpeg, p-cpe:/a:debian:debian_linux:ffmpeg-doc, p-cpe:/a:debian:debian_linux:libavcodec-dev, p-cpe:/a:debian:debian_linux:libavcodec-extra, p-cpe:/a:debian:debian_linux:libavcodec-extra58, p-cpe:/a:debian:debian_linux:libavcodec58, p-cpe:/a:debian:debian_linux:libavdevice-dev, p-cpe:/a:debian:debian_linux:libavdevice58, p-cpe:/a:debian:debian_linux:libavfilter-dev, p-cpe:/a:debian:debian_linux:libavfilter-extra, p-cpe:/a:debian:debian_linux:libavfilter-extra7, p-cpe:/a:debian:debian_linux:libavfilter7, p-cpe:/a:debian:debian_linux:libavformat-dev, p-cpe:/a:debian:debian_linux:libavformat58, p-cpe:/a:debian:debian_linux:libavresample-dev, p-cpe:/a:debian:debian_linux:libavresample4, p-cpe:/a:debian:debian_linux:libavutil-dev, p-cpe:/a:debian:debian_linux:libavutil56, p-cpe:/a:debian:debian_linux:libpostproc-dev, p-cpe:/a:debian:debian_linux:libpostproc55, p-cpe:/a:debian:debian_linux:libswresample-dev, p-cpe:/a:debian:debian_linux:libswresample3, p-cpe:/a:debian:debian_linux:libswscale-dev, p-cpe:/a:debian:debian_linux:libswscale5, cpe:/o:debian:debian_linux:10.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2023/6/13
漏洞发布日期: 2022/12/16
参考资料信息
CVE: CVE-2022-3109, CVE-2022-3341