Debian DSA-2306-1:ffmpeg - 多个漏洞

high Nessus 插件 ID 56144

语言:

简介

远程 Debian 主机缺少与安全相关的更新。

描述

已在 FFmpeg 中发现多个漏洞,这是一款多媒体播放器、服务器和解码器。通用漏洞和暴露计划识别以下问题:

- CVE-2010-3908 在低于 0.5.4 版的 FFmpeg 中,远程攻击者可通过畸形 WMV 文件造成拒绝服务(内存损坏和应用程序崩溃),或者可能执行任意代码。

- CVE-2010-4704 在 FFmpeg 的 Vorbis 解码器内,远程攻击者可利用 libavcodec/vorbis_dec.c 并通过特别构建的 Ogg 文件造成拒绝服务(应用程序崩溃),此问题与 vorbis_floor0_decode 函数有关。

- CVE-2011-0480 在 FFmpeg 的 Vorbis 解码器内,远程攻击者可利用 vorbis_dec.c 中存在的多个缓冲区溢出,通过特别构建的 WebM 文件造成拒绝服务(内存损坏和应用程序崩溃),此问题与 floor 函数和 residue 函数的缓冲区有关。

- CVE-2011-0722 在 FFmpeg 中,远程攻击者可通过畸形 RealMedia 文件造成拒绝服务(堆内存损坏和应用程序崩溃),或者可能执行任意代码。

解决方案

升级 ffmpeg 程序包。

对于稳定发行版本 (squeeze),已在版本 4:0.5.4-1 中修复此问题。

旧稳定发行版本 (lenny) 现已停止对 ffmpeg 的安全支持。旧稳定发行版本中的当前版本不再受上游支持,并且受到多个安全问题影响。针对这些问题和将来的任何问题的向后移植修补程序已变得不可行,因此我们需要放弃对旧稳定发行版本中的版本的安全支持。

另见

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=611495

https://security-tracker.debian.org/tracker/CVE-2010-3908

https://security-tracker.debian.org/tracker/CVE-2010-4704

https://security-tracker.debian.org/tracker/CVE-2011-0480

https://security-tracker.debian.org/tracker/CVE-2011-0722

https://packages.debian.org/source/squeeze/ffmpeg

https://www.debian.org/security/2011/dsa-2306

插件详情

严重性: High

ID: 56144

文件名: debian_DSA-2306.nasl

版本: 1.12

类型: local

代理: unix

发布时间: 2011/9/12

最近更新时间: 2021/1/11

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 6.9

矢量: AV:N/AC:M/Au:N/C:C/I:C/A:C

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:ffmpeg, cpe:/o:debian:debian_linux:6.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2011/9/11

参考资料信息

CVE: CVE-2010-3908, CVE-2010-4704, CVE-2011-0480, CVE-2011-0722, CVE-2011-0723

BID: 45788, 46294, 47147, 47149, 47151, 47154

DSA: 2306