Debian DSA-3957-1:ffmpeg - 安全性更新
high Nessus Plugin ID 102807
語系:
Synopsis
遠端 Debian 主機缺少安全性更新。描述
在 FFmpeg (一種多媒體播放程式)、伺服器和編碼器中,發現數個弱點。這些問題會導致拒絕服務,且在某些情況下會造成執行任意程式碼。- CVE-2017-9608 Qihoo 360 GearTeam 的 Yihan Lian 發現在剖析特製的 MOV 檔案時會出現一個 NULL 指標存取。- CVE-2017-9993 Thierry Foucu 發現使用 HTTP 即時串流,有可能會洩漏以常用多媒體延伸程式結尾的檔案和符號連結的資訊。- CVE-2017-11399 IIE 的 Liu Bingchang 發現 APE 解碼器中存在一個整數溢位問題,可透過特製的 APE 檔案觸發該問題。- CVE-2017-11665 Ant-financial Light-Year Security Lab 的 JunDong Xie 發現有能力特製 RTMP 串流的攻擊者可損毀 FFmpeg。- CVE-2017-11719 IIE 的 Liu Bingchang 發現一個超出邊界存取問題,可透過特製的 DNxHD 檔案觸發該問題。解決方案
升級 ffmpeg 套件。針對穩定的發行版本 (stretch),這些問題已在 7:3.2.7-1~deb9u1 版本中修正。另請參閱
https://security-tracker.debian.org/tracker/CVE-2017-9608
https://security-tracker.debian.org/tracker/CVE-2017-9993
https://security-tracker.debian.org/tracker/CVE-2017-11399
https://security-tracker.debian.org/tracker/CVE-2017-11665
https://security-tracker.debian.org/tracker/CVE-2017-11719
Plugin 詳細資訊
嚴重性: High
ID: 102807
檔案名稱: debian_DSA-3957.nasl
版本: 3.4
類型: local
代理程式: unix
已發布: 2017/8/29
已更新: 2021/1/4
支持的傳感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 6.8
媒介: AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS v3
風險因素: High
基本分數: 7.8
媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:ffmpeg, cpe:/o:debian:debian_linux:9.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
修補程式發佈日期: 2017/8/28
參考資訊
CVE: CVE-2017-11399, CVE-2017-11665, CVE-2017-11719, CVE-2017-9608, CVE-2017-9993
DSA: 3957