Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
ffmpeg
(any)
ffmpeg-dbg
(any)
ffmpeg-doc
(any)
libavcodec51
(any)
libavcodec-dev
(any)
libavdevice52
(any)
libavdevice-dev
(any)
libavformat52
(any)
libavformat-dev
(any)
libavutil49
(any)
libavutil-dev
(any)
libpostproc51
(any)
libpostproc-dev
(any)
libswscale0
(any)
libswscale-dev
(any)
Описание
Было обнаружено несколько уязвимостей в кодерах FFmpeg, которые используются в
MPlayer и других приложениях.
CVE-2010-3429
Cesar Bernardini и Felipe Andres Manzano сообщили о произвольном смещении
оператора разыменования в libavcodec, в частности в анализаторе формата
файла FLIC. С помощью специально созданного FLIC-файл можно выполнить
произвольный код. Mplayer также подвержен этой проблеме, как и другое
программное обеспечение, использующее эту библиотеку.
CVE-2010-4704
Greg Maxwell обнаружил целочисленное переполнение декодера Vorbis в FFmpeg.
С помощью специально созданного Ogg-файла можно выполнить произвольный код.
CVE-2010-4705
Было обнаружено возможное целочисленное переполнение декодера Vorbis в
FFmpeg.
Это обновление также исправляет неполный патч из DSA-2000-1. Michael Gilbert
сообщил, что там остались уязвимости, которые могут привести к отказу в
обслуживании и возможному выполнению произвольного кода.
В прошлом стабильном дистрибутиве (Lenny) эта проблема была исправлена в
версии 0.svn20080206-18+lenny3.
Мы рекомендуем вам обновить пакеты ffmpeg-debian.
MPlayer и других приложениях.
CVE-2010-3429
Cesar Bernardini и Felipe Andres Manzano сообщили о произвольном смещении
оператора разыменования в libavcodec, в частности в анализаторе формата
файла FLIC. С помощью специально созданного FLIC-файл можно выполнить
произвольный код. Mplayer также подвержен этой проблеме, как и другое
программное обеспечение, использующее эту библиотеку.
CVE-2010-4704
Greg Maxwell обнаружил целочисленное переполнение декодера Vorbis в FFmpeg.
С помощью специально созданного Ogg-файла можно выполнить произвольный код.
CVE-2010-4705
Было обнаружено возможное целочисленное переполнение декодера Vorbis в
FFmpeg.
Это обновление также исправляет неполный патч из DSA-2000-1. Michael Gilbert
сообщил, что там остались уязвимости, которые могут привести к отказу в
обслуживании и возможному выполнению произвольного кода.
В прошлом стабильном дистрибутиве (Lenny) эта проблема была исправлена в
версии 0.svn20080206-18+lenny3.
Мы рекомендуем вам обновить пакеты ffmpeg-debian.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 5:
noarch:
ffmpeg-debian - 0.svn20080206-18+lenny3
Debian GNU/Linux 5:
noarch:
ffmpeg-debian - 0.svn20080206-18+lenny3
Ссылки
http://www.debian.org/security/dsa-2165/
Источник: CVE
Наименование: CVE-2010-4705
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4705
Источник: CVE
Наименование: CVE-2010-4704
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4704
Источник: CVE
Наименование: CVE-2010-3429
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3429
Источник: CVE
Наименование: CVE-2010-4705
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4705
Источник: CVE
Наименование: CVE-2010-4704
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4704
Источник: CVE
Наименование: CVE-2010-3429
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3429