Debian DSA-2306-1：FFmpeg - いくつかの脆弱性

high Nessus プラグイン ID 56144

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

マルチメディアプレイヤー、サーバー、エンコーダーであるFFmpegで複数の脆弱性が発見されました。Common Vulnerabilities and Exposuresプロジェクトは次の問題を特定しています：

- CVE-2010-3908 0.5.4 より前の FFmpeg において、リモートの攻撃者は、無効な形式の WMV ファイルを介して、サービス拒否（メモリ破損およびアプリケーションのクラッシュ）を引き起こしたり、任意のコードを実行する可能性があります。

- CVE-2010-4704 FFmpeg および Vorbis デコーダーの libavcodec/vorbis_dec.c では、リモート攻撃者が、vorbis_floor0_decode 関数に関連して、細工された .ogg ファイルによりサービス拒否（アプリケーションのクラッシュ）を引き起こす可能性があります。

- CVE-2011-0480 FFmpeg の Vorbis デコーダーにおける vorbis_dec.c の複数のバッファオーバーフローにより、リモートの攻撃者はサービス拒否（メモリ破損とアプリケーションクラッシュ）を引き起こしたり、細工された WebM ファイルにより詳細不明の他の影響を及ぼす可能性があります。これは、（1）チャネルフロアおよび（2）チャネル剰余のバッファに関連するものです。

- CVE-2011-0722 FFmpeg において、リモートの攻撃者は、無効な形式の RealMedia ファイルを介して、サービス拒否（ヒープメモリ破損とアプリケーションのクラッシュ）を引き起こしたり、任意のコードを実行する可能性があります。

ソリューション

ffmpegパッケージをアップグレードしてください。

安定版（stable）ディストリビューション（squeeze）では、この問題はバージョン4:0.5.4-1で修正済みです。

旧安定版（oldstable）ディストリビューション（lenny）については、ffmpeg のセキュリティサポートは終了しています。旧安定版（oldstable）の現在のバージョンは、上流ではサポートされなくなり、複数のセキュリティ問題の影響を受けています。これらはバックポートで修正され、将来問題が起こる可能性がなくなっているため、当社では旧安定版（oldstable）バージョンのセキュリティサポートはドロップする必要があります。