Ubuntu 10.04 LTS:ffmpeg の脆弱性(USN-1479-1)
medium Nessus プラグイン ID 59566
Language:
概要
リモート Ubuntu ホストに 1 つ以上のセキュリティ関連パッチがありません。説明
Mateusz Jurczyk 氏および Gynvael Coldwind 氏は、FFmpeg が特定の無効な形式の DV ファイルを不適切に処理していることを発見しました。ユーザーが騙されて、細工された DV ファイルを開いた場合、攻撃者が、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、プログラムを呼び出しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2011-3929、CVE-2011-3936)Mateusz Jurczyk 氏および Gynvael Coldwind 氏は、FFmpeg が特定の無効な形式の NSV ファイルを不適切に処理していることを発見しました。ユーザーが騙されて、細工された NSV ファイルを開いた場合、攻撃者が、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、プログラムを呼び出しているユーザーの権限で任意のコードを実行したりする可能性があります。
(CVE-2011-3940)
Mateusz Jurczyk 氏および Gynvael Coldwind 氏は、FFmpeg が特定の無効な形式の MJPEG-B ファイルを不適切に処理していることを発見しました。ユーザーが騙されて、細工された MJPEG-B ファイルを開いた場合、攻撃者が、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、プログラムを呼び出しているユーザーの権限で任意のコードを実行したりする可能性があります。
(CVE-2011-3947)
Mateusz Jurczyk 氏および Gynvael Coldwind 氏は、FFmpeg が特定の無効な形式の DPCM ファイルを不適切に処理していることを発見しました。ユーザーが騙され、細工された DPCM ファイルを開いた場合、攻撃者が、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、プログラムを呼び出しているユーザーの権限で任意のコードを実行したりする可能性があります。
(CVE-2011-3951)
Mateusz Jurczyk 氏および Gynvael Coldwind 氏は、FFmpeg が特定の無効な形式の KMVC ファイルを不適切に処理していることを発見しました。ユーザーが騙されて、細工された KMVC ファイルを開いた場合、攻撃者が、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、プログラムを呼び出しているユーザーの権限で任意のコードを実行したりする可能性があります。
(CVE-2011-3952)
FFmpeg が、特定の無効な形式の H.264 ファイルを不適切に処理していることが判明しました。ユーザーが騙されて、細工された H.264 ファイルを開いた場合、攻撃者が、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、プログラムを呼び出しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2012-0851)
FFmpeg が、特定の無効な形式の ADPCM ファイルを不適切に処理していることが判明しました。ユーザーが騙されて、細工された ADPCM ファイルを開いた場合、攻撃者が、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、プログラムを呼び出しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2012-0852)
FFmpeg が特定の無効な形式の Atrac 3 ファイルを不適切に処理していることが判明しました。ユーザーが騙されて、細工された Atrac 3 ファイルを開いた場合、攻撃者が、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、プログラムを呼び出しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2012-0853)
FFmpeg が、特定の無効な形式の Shorten ファイルを不適切に処理していることが判明しました。ユーザーが騙されて、細工された Shorten ファイルを開いた場合、攻撃者が、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、プログラムを呼び出しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2012-0858)
FFmpeg が、特定の無効な形式の Vorbis ファイルを不適切に処理していることが判明しました。ユーザーが騙されて、細工された Vorbis ファイルを開いた場合、攻撃者が、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、プログラムを呼び出しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2012-0859)
Fabian Yamaguchi 氏は、FFmpeg が特定の無効な形式の VQA ファイルを正しく処理しないことを発見しました。ユーザーが騙されて、細工された VQA ファイルを開いた場合、攻撃者が、アプリケーションのクラッシュによりサービス拒否を引き起こしたり、プログラムを呼び出しているユーザーの権限で任意のコードを実行したりする可能性があります。(CVE-2012-0947)。
ソリューション
影響を受ける libavcodec52 および/または libavformat52 のパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 59566
ファイル名: ubuntu_USN-1479-1.nasl
バージョン: 1.10
タイプ: local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2012/6/19
更新日: 2019/9/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:canonical:ubuntu_linux:libavcodec52, p-cpe:/a:canonical:ubuntu_linux:libavformat52, cpe:/o:canonical:ubuntu_linux:10.04:-:lts
必要な KB アイテム: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2012/6/18
脆弱性公開日: 2012/8/20
参照情報
CVE: CVE-2011-3929, CVE-2011-3936, CVE-2011-3940, CVE-2011-3947, CVE-2011-3951, CVE-2011-3952, CVE-2012-0851, CVE-2012-0852, CVE-2012-0853, CVE-2012-0858, CVE-2012-0859, CVE-2012-0947
USN: 1479-1