Vulnérabilités dans FFmpeg

Gestion du document

Référence	CERTA-2011-AVI-507
Titre	Vulnérabilités dans FFmpeg
Date de la première version	13 septembre 2011
Date de la dernière version	13 septembre 2011
Source(s)	Buleltin de sécurité Debian DSA-2306-1 du 11 septembre 2011
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire ;
déni de service.

Systèmes affectés

Debian Squeeze

Résumé

Plusieurs vulnérabilités ont été découverte dans FFmpeg.

Description

Plusieurs vulnérabilités sont présentes dans FFmpeg.

La première (CVE-2010-3908) permet à une personne malintentionnée d'effectuer un déni de service, voire d'exécuter du code arbitraire, lors de l'ouverture d'un fichier WMV spécialement conçu.

La deuxième (CVE-2010-4704) permet de provoquer un déni de service lors de l'ouverture d'un fichier Ogg contrefait.

La troisième (CVE-2011-0480) concerne différents dépassements de tampon dans le décodeur Vorbis, pouvant avoir lieu lors de l'ouverture d'un fichier WebM spécialement formé. Il est alors possible de rendre l'application inopérante (déni de service). Ce problème pourrait avoir d'autres conséquences non déterminées.

La dernière (CVE-2011-0722) permet à un utilisateur malintentionné de provoquer un déni de service ou une exécution de code arbitraire lors de la lecture d'un fichier RealMedia contrefait.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Debian DSA 2306 du 11 septembre 2011 :
```
http://www.debian.org/security/2011/dsa-2306
```

Référence CVE CVE-2010-3908 :

https://www.cve.org/CVERecord?id=CVE-2010-3908

Référence CVE CVE-2010-4704 :

https://www.cve.org/CVERecord?id=CVE-2010-4704

Référence CVE CVE-2011-0480 :

https://www.cve.org/CVERecord?id=CVE-2011-0480

Référence CVE CVE-2011-0722 :

https://www.cve.org/CVERecord?id=CVE-2011-0722

Avis du CERT-FR

Objet: Vulnérabilités dans FFmpeg