Mandriva Linux セキュリティアドバイザリ: ffmpeg(MDVSA-2013:079)

critical Nessus プラグイン ID 66093

概要

リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。

説明

更新 ffmpeg パッケージは、セキュリティの脆弱性を修正します。

h264:無効な chroma_format_idc のチェックを追加します(CVE-2012-0851)

h263dec:フレームスレッドの幅/高さの変更を許可しません(CVE-2011-3937)

vc1dec:コーデックのスライス位置とインターレースの一致をチェックします。これは、配列外書き込みを修正します(CVE-2012-2796)

alsdec:BGMC モードの最初のサブブロックのデコードされたサンプルの数を修正します(CVE-2012-2790)

cavsdec:幅/高さの変更をチェックします。弊社のデコーダーは、幅/高さの変更をサポートしていません(CVE-2012-2777、CVE-2012-2784)

indeo4:サイズ変更での AVCodecContext 幅/高さを更新します(CVE-2012-2787)

avidec:リクエストされたサイズの代わりに実際の読み取りサイズを使用します(CVE-2012-2788)

wmaprodec:num_vec_coeffs の有効性をチェックします(CVE-2012-2789)

lagarith:ゼロを書き込む前にカウントをチェックします(CVE-2012-2793)

indeo3:セル書き込みを修正します(CVE-2012-2776)

indeo5:decode_mb_info\(\) のタイルサイズをチェックします。これにより、タイルが再割り当てされることなく一部のパラメーターが変更されていた場合に、小さすぎる配列に書き込むことはなくなります(CVE-2012-2794)

indeo5dec:有効な gop ヘッダーがあることを保証します。これによって、半分だけ初期化されたコンテキストでデコーディングが発生することを防ぎます(CVE-2012-2779)

indeo4/5:decode_mb_info\(\) で空白のタイルサイズをチェックします。これにより、タイルが再割り当てされることなく一部のパラメーターが変更されていた場合に、小さすぎる配列に書き込むことはなくなります(CVE-2012-2800)

dfa:decode_dds1\(\) での境界検査を改善します(CVE-2012-2798)

dfa:呼び出し側が、幅/高さを適切に設定していることをチェックします(CVE-2012-2786)

avsdec:デマルチプレクサに依存する代わりに寸法を設定します。decode 関数は、ビデオにそれらの寸法があると想定しています(CVE-2012-2801)

ac3dec:get_buffer\(\) が、正しい数のチャネルに対するバッファを取得できることを保証します(CVE-2012-2802)

rv34:フレームスレッドのサイズ変更でエラーが発生します(CVE-2012-2772)

alsdec:opt_order をチェックします。quant_cof での配列書き込みを修正します。また、無効な opt_order がコンテキストに残っていないことも確認します(CVE-2012-2775)

これは、ffmpeg をバージョン 0.10.6 に更新します。このバージョンには、上記のセキュリティ修正ならびにその他のバグ修正が含まれています。

ソリューション

影響を受けるパッケージを更新してください。

プラグインの詳細

深刻度: Critical

ID: 66093

ファイル名: mandriva_MDVSA-2013-079.nasl

バージョン: 1.8

タイプ: local

公開日: 2013/4/20

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:mandriva:linux:ffmpeg, p-cpe:/a:mandriva:linux:lib64avcodec53, p-cpe:/a:mandriva:linux:lib64avfilter2, p-cpe:/a:mandriva:linux:lib64avformat53, p-cpe:/a:mandriva:linux:lib64avutil51, p-cpe:/a:mandriva:linux:lib64ffmpeg-devel, p-cpe:/a:mandriva:linux:lib64ffmpeg-static-devel, p-cpe:/a:mandriva:linux:lib64postproc52, p-cpe:/a:mandriva:linux:lib64swresample0, p-cpe:/a:mandriva:linux:lib64swscaler2, cpe:/o:mandriva:business_server:1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/4/9

参照情報

CVE: CVE-2011-3937, CVE-2012-0851, CVE-2012-2772, CVE-2012-2775, CVE-2012-2776, CVE-2012-2777, CVE-2012-2779, CVE-2012-2784, CVE-2012-2786, CVE-2012-2787, CVE-2012-2788, CVE-2012-2789, CVE-2012-2790, CVE-2012-2793, CVE-2012-2794, CVE-2012-2796, CVE-2012-2798, CVE-2012-2800, CVE-2012-2801, CVE-2012-2802

BID: 51307, 51720, 55355

MDVSA: 2013:079

MGASA: 2012-0143, 2012-0331