Mandriva Linux 安全性公告:ffmpeg (MDVSA-2011:062)
critical Nessus Plugin ID 53274
語系:
概要
遠端 Mandriva Linux 主機缺少一或多個安全性更新。說明
在 ffmpeg 中發現多個弱點且已修正:FFmpeg 0.5 允許遠端攻擊者透過可觸發無限迴圈的特製檔案造成拒絕服務 (懸置)。(CVE-2009-4636)
在 MPlayer 及其他產品中使用時,FFmpeg 內 libavcodec 0.6 和更舊版本的 flicvideo.c 允許遠端攻擊者透過特製的 flic 檔案執行任意程式碼,與任意位移解除參照弱點相關。(CVE-2010-3429)
在 FFmpeg 0.6.1 和更舊版本中,Vorbis 解碼器的 libavcodec/vorbis_dec.c 允許遠端攻擊者透過特製的 .ogg 檔案造成拒絕服務 (應用程式損毀),與 vorbis_floor0_decode 函式相關。(CVE-2010-4704)
修正堆積損毀當機 (CVE-2011-0722)
修正 VC-1 解碼中的無效讀取 (CVE-2011-0723)
且最初由 Google Chrome 開發人員發現的多個其他弱點也已透過此公告修正。
已修補更新版套件,以更正這些問題。
解決方案
更新受影響的套件。Plugin 詳細資訊
嚴重性: Critical
ID: 53274
檔案名稱: mandriva_MDVSA-2011-062.nasl
版本: 1.14
類型: local
已發布: 2011/4/4
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:mandriva:linux:ffmpeg, p-cpe:/a:mandriva:linux:lib64avformats52, p-cpe:/a:mandriva:linux:lib64avutil50, p-cpe:/a:mandriva:linux:lib64ffmpeg-devel, p-cpe:/a:mandriva:linux:lib64ffmpeg-static-devel, p-cpe:/a:mandriva:linux:lib64ffmpeg52, p-cpe:/a:mandriva:linux:lib64postproc51, p-cpe:/a:mandriva:linux:lib64swscaler0, p-cpe:/a:mandriva:linux:libavformats52, p-cpe:/a:mandriva:linux:libavutil50, p-cpe:/a:mandriva:linux:libffmpeg-devel, p-cpe:/a:mandriva:linux:libffmpeg-static-devel, p-cpe:/a:mandriva:linux:libffmpeg52, p-cpe:/a:mandriva:linux:libpostproc51, p-cpe:/a:mandriva:linux:libswscaler0, cpe:/o:mandriva:linux:2010.1
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2011/4/1
參考資訊
CVE: CVE-2009-4636, CVE-2010-3429, CVE-2010-4704, CVE-2011-0722, CVE-2011-0723
BID: 36465
CWE: 94
MDVSA: 2011:062