Ubuntu 11.04 / 11.10 / 12.04 LTS:libav 漏洞 (USN-1478-1)
high Nessus 插件 ID 59565
语言:
简介
远程 Ubuntu 主机缺少一个或多个与安全有关的修补程序。描述
Mateusz Jurczyk 和 Gynvael Coldwind 发现 Libav 未能正确处理某些畸形 DV 文件。如果用户受到诱骗打开构建的 DV 文件,攻击者可以通过应用程序崩溃造成拒绝服务或者可能以调用该程序的用户的权限执行任意代码。此问题只影响 Ubuntu 11.10。(CVE-2011-3929、CVE-2011-3936)Mateusz Jurczyk 和 Gynvael Coldwind 发现 Libav 未正确处理某些畸形 NSV 文件。如果用户受到诱骗打开构建的 NSV 文件,攻击者可通过应用程序崩溃来造成拒绝服务,或者可能以调用该程序的用户的权限来执行任意代码。此问题只影响 Ubuntu 11.04 和 Ubuntu 11.10。(CVE-2011-3940)
Mateusz Jurczyk 和 Gynvael Coldwind 发现 Libav 未正确处理某些畸形 Kega Game Video (KGV1) 文件。如果用户受到诱骗打开构建的 Kega Game Video (KGV1) 文件,攻击者可通过应用程序崩溃来造成拒绝服务或者可能以调用该程序的用户的权限执行任意代码。此问题只影响 Ubuntu 11.04 和 Ubuntu 11.10。(CVE-2011-3945)
Mateusz Jurczyk 和 Gynvael Coldwind 发现 Libav 未正确处理某些畸形 MJPEG-B 文件。如果用户受到诱骗打开构建的 MJPEG-B 文件,攻击者可以通过应用程序崩溃造成拒绝服务或者可能以调用该程序的用户的权限执行任意代码。此问题只影响 Ubuntu 11.04 和 Ubuntu 11.10。(CVE-2011-3947)
Mateusz Jurczyk 和 Gynvael Coldwind 发现 Libav 未正确处理某些畸形 DPCM 文件。如果用户受到诱骗打开构建的 DPCM 文件,攻击者可通过应用程序崩溃来造成拒绝服务或者可能以调用该程序的用户的权限执行任意代码。此问题只影响 Ubuntu 11.04 和 Ubuntu 11.10。(CVE-2011-3951)
Mateusz Jurczyk 和 Gynvael Coldwind 发现 Libav 未正确处理某些畸形 KMVC 文件。如果用户受到诱骗打开构建的 KMVC 文件,攻击者可通过应用程序崩溃来造成拒绝服务或者可能以调用该程序的用户的权限执行任意代码。此问题只影响 Ubuntu 11.04 和 Ubuntu 11.10。(CVE-2011-3952)
Jeong Wook Oh 发现 Libav 未正确处理某些畸形 ASF 文件。如果用户受到诱骗打开构建的 ASF 文件,攻击者可通过应用程序崩溃来造成拒绝服务,或可能以调用该程序的用户的权限来执行任意代码。此问题只影响 Ubuntu 11.10。
(CVE-2011-4031)
已发现 Libav 未正确处理某些畸形 Westwood SNDx 文件。如果用户受到诱骗打开构建的 Westwood SNDx 文件,攻击者可通过应用程序崩溃来造成拒绝服务或者可能以调用该程序的用户的权限执行任意代码。此问题只影响 Ubuntu 11.10。(CVE-2012-0848)
Diana Elena Muscalu 发现 Libav 未正确处理某些畸形 AAC 文件。如果用户受到诱骗打开构建的 AAC 文件,攻击者可通过应用程序崩溃来造成拒绝服务或者可能以调用该程序的用户的权限执行任意代码。此问题只影响 Ubuntu 11.04 和 Ubuntu 11.10。(CVE-2012-0850)
已发现 Libav 未正确处理某些畸形 H.264 文件。如果用户受到诱骗打开构建的 H.264 文件,攻击者可通过应用程序崩溃造成拒绝服务,或者可能以调用该程序的用户的权限执行任意代码。(CVE-2012-0851)
已发现 Libav 未正确处理某些畸形 ADPCM 文件。如果用户受到诱骗打开构建的 ADPCM 文件,攻击者可通过应用程序崩溃造成拒绝服务,或者可能以调用该程序的用户的权限执行任意代码。此问题只影响 Ubuntu 11.04 和 Ubuntu 11.10。(CVE-2012-0852)
已发现 Libav 未正确处理某些畸形 Atrac 3 文件。如果用户受到诱骗打开构建的 Atrac 3 文件,攻击者可通过应用程序崩溃来造成拒绝服务,或者可能以调用该程序的用户的权限来执行任意代码。此问题只影响 Ubuntu 11.04 和 Ubuntu 11.10。(CVE-2012-0853)
已发现 Libav 未正确处理某些畸形 Shorten 文件。如果用户受到诱骗打开构建的 Shorten 文件,攻击者可通过应用程序崩溃来造成拒绝服务,或可能以调用该程序的用户的权限来执行任意代码。此问题只影响 Ubuntu 11.04 和 Ubuntu 11.10。(CVE-2012-0858)
已发现 Libav 未正确处理某些畸形 Vorbis 文件。如果用户受到诱骗打开构建的 Vorbis 文件,攻击者可通过应用程序崩溃来造成拒绝服务,或者可能以调用该程序的用户的权限来执行任意代码。此问题只影响 Ubuntu 11.04 和 Ubuntu 11.10。(CVE-2012-0859)
Fabian Yamaguchi 发现 Libav 未正确处理某些畸形 VQA 文件。如果用户受到诱骗打开构建的 VQA 文件,攻击者可通过应用程序崩溃来造成拒绝服务或者可能以调用该程序的用户的权限执行任意代码。(CVE-2012-0947)。
解决方案
更新受影响的程序包。另见
插件详情
严重性: High
ID: 59565
文件名: ubuntu_USN-1478-1.nasl
版本: 1.8
类型: local
代理: unix
发布时间: 2012/6/19
最近更新时间: 2019/9/19
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 6.9
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:canonical:ubuntu_linux:libavcodec52, p-cpe:/a:canonical:ubuntu_linux:libavcodec53, p-cpe:/a:canonical:ubuntu_linux:libavformat52, p-cpe:/a:canonical:ubuntu_linux:libavformat53, cpe:/o:canonical:ubuntu_linux:11.04, cpe:/o:canonical:ubuntu_linux:11.10, cpe:/o:canonical:ubuntu_linux:12.04:-:lts
必需的 KB 项: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2012/6/18
漏洞发布日期: 2012/5/9
参考资料信息
CVE: CVE-2011-3929, CVE-2011-3936, CVE-2011-3940, CVE-2011-3945, CVE-2011-3947, CVE-2011-3951, CVE-2011-3952, CVE-2011-4031, CVE-2012-0848, CVE-2012-0850, CVE-2012-0851, CVE-2012-0852, CVE-2012-0853, CVE-2012-0858, CVE-2012-0859, CVE-2012-0947
USN: 1478-1