在 libav 中發現多個弱點：CVE-2015-8365 libavcodec/smacker.c 內的 smka_decode_frame 函式未驗證資料大小是否與通道數目一致，遠端攻擊者可藉此透過特製的 Smacker 資料造成拒絕服務 (超出邊界陣列存取)，或可能造成其他不明影響。CVE-2017-7208 遠端攻擊者可利用 libavcodec 中的 decode_residual 函式，透過特製的 h264 視訊檔案，造成拒絕服務 (緩衝區過度讀取)，或取得處理程序記憶體的敏感資訊。CVE-2017-7862 libavcodec/pictordec.c 中的 decode_frame 函式容易因為堆積型緩衝區溢位而出現超出邊界寫入弱點。CVE-2017-9992 遠端攻擊者可利用 libavcodec/dfa.c 中的 decode_dds1 函式，透過特製檔案造成拒絕服務 (堆積型緩衝區溢位和應用程式損毀)，或可能造成其他不明影響。針對 Debian 7「Wheezy」，這些問題已在 6:0.8.21-0+deb7u1 版本中修正。建議您升級 libav 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

偵測

Debian DLA-1142-1：libav 安全性更新

critical Nessus Plugin ID 104056

版本 3.7