Mandriva Linux 安全公告:ffmpeg (MDVSA-2014:129)
critical Nessus 插件 ID 76437
语言:
简介
远程 Mandriva Linux 主机缺少一个或多个安全更新。描述
已在 ffmpeg 中发现并修正了多种漏洞:0.11 之前的 FFmpeg 中 libavcodec/wmalosslessdec.c 的多种不明漏洞具有不明影响以及与以下方面有关的攻击矢量:(1) mclms 数组的大小、(2) decode_ac_filter 中的 get_bits(0) 和 (3) decode_channel_residues() 中的位过多。(CVE-2012-2795)。
2.1.4 之前的 FFmpeg 中的 libavcodec/wmalosslessdec.c 对某些系数使用了错误的数据结构大小,从而允许远程攻击者通过构建的 WMA 数据造成拒绝服务(内存损坏)或可能造成其他不明影响 (CVE-2014-2098)。
2.1.4 之前的 FFmpeg 的 libavcodec/msrle.c 中的 msrle_decode_frame 函数未正确计算行大小,从而允许远程攻击者通过构建的 Microsoft RLE 视频数据造成拒绝服务(越界数组访问)或可能造成其他不明影响 (CVE-2014-2099)。
某些版本(可能为 2.1 或更早版本)的 FFmpeg 中 MPEG2 传输流(又称为 DVB)多路复用器 (libavformat/mpegtsenc.c) 中的 mpegts_write_pmt 函数允许远程攻击者造成不明影响和可触发越界写入的矢量 (CVE-2014-2263)。
1.1.9 版本之前的 FFmpeg 中涉及视频数据查找操作的释放后使用漏洞可允许远程攻击者造成拒绝服务 (CVE-2012-5150)。
处理 av_lzo1x_decode 函数中文字运行的任何变体时可发生整数溢出(CVE-2014-4609、CVE-2014-4610)。
已将更新后的程序包已升级到 0.10.14 版本,因此不易受到这些问题的影响。
解决方案
更新受影响的数据包。另见
http://www.nessus.org/u?76546f97
https://seclists.org/oss-sec/2014/q2/668
插件详情
严重性: Critical
ID: 76437
文件名: mandriva_MDVSA-2014-129.nasl
版本: 1.7
类型: local
发布时间: 2014/7/10
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:mandriva:linux:ffmpeg, p-cpe:/a:mandriva:linux:lib64avcodec53, p-cpe:/a:mandriva:linux:lib64avfilter2, p-cpe:/a:mandriva:linux:lib64avformat53, p-cpe:/a:mandriva:linux:lib64avutil51, p-cpe:/a:mandriva:linux:lib64ffmpeg-devel, p-cpe:/a:mandriva:linux:lib64ffmpeg-static-devel, p-cpe:/a:mandriva:linux:lib64postproc52, p-cpe:/a:mandriva:linux:lib64swresample0, p-cpe:/a:mandriva:linux:lib64swscaler2, cpe:/o:mandriva:business_server:1
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2014/7/9
参考资料信息
CVE: CVE-2012-2795, CVE-2012-5150, CVE-2014-2098, CVE-2014-2099, CVE-2014-2263, CVE-2014-4609, CVE-2014-4610
BID: 55355, 59417, 65560, 66057, 66060, 68217, 68219
MDVSA: 2014:129