漏洞信息详情
FFmpeg ‘svq1_decode_frame’函数拒绝服务漏洞
- CNNVD编号:CNNVD-201205-417 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2011-4579
- 漏洞类型: 缓冲区溢出
- 发布时间: 1900-01-01
- 威胁类型: 远程
- 更新时间: 2012-08-21
- 厂 商: libav
- 漏洞来源: Phillip Langlois
-
漏洞简介
FFmpeg是FFmpeg团队的一套可录制、转换以及流化音视频的完整解决方案。
FFmpeg 0.5.7之前的0.5.x版本、0.6.4之前的0.6.x版本、0.7.9之前的0.7.x版本、0.8.8之前的0.8.x版本和Libav 0.5.6之前的0.5.x版本、0.6.4之前的0.6.x版本、0.7.3之前的0.7.x版本中的libavcodec内的SVQ1解码器(svq1dec.c)中的‘svq1_decode_frame’函数中存在漏洞。远程攻击者可利用该漏洞通过与‘dimensions changed’相关的特制SVQ1流,导致拒绝服务(内存破坏)。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://ffmpeg.org/
参考网址
来源: BUGTRAQ
名称: 20111123 NGS00148 Patch Notification: FFmpeg Libavcodec memory corruption remote code execution
链接:http://www.securityfocus.com/archive/1/520620
来源: MANDRIVA
名称: MDVSA-2012:076
链接:http://www.mandriva.com/security/advisories?name=MDVSA-2012:076
来源: MANDRIVA
名称: MDVSA-2012:075
链接:http://www.mandriva.com/security/advisories?name=MDVSA-2012:075
来源: MANDRIVA
名称: MDVSA-2012:074
链接:http://www.mandriva.com/security/advisories?name=MDVSA-2012:074
来源: UBUNTU
名称: USN-1333-1
链接:http://ubuntu.com/usn/usn-1333-1
来源: UBUNTU
名称: USN-1320-1
链接:http://ubuntu.com/usn/usn-1320-1
来源: libav.org
链接:http://libav.org/
来源: git.videolan.org
链接:http://git.videolan.org/?p=ffmpeg.git;a=commit;h=6e24b9488e67849a28e64a8056e05f83cf439229
来源: git.libav.org
链接:http://git.libav.org/?p=libav.git;a=commit;h=6e24b9488e67849a28e64a8056e05f83cf439229
来源: ffmpeg.org
链接:http://ffmpeg.org/
来源:SECUNIA
名称:47380
链接:http://secunia.com/advisories/47380
来源:SECUNIA
名称:47465
链接:http://secunia.com/advisories/47465
来源:SECUNIA
名称:47602
链接:http://secunia.com/advisories/47602
来源: BID
名称: 51290
链接:http://www.securityfocus.com/bid/51290
受影响实体
- Libav Libav:0.7<!--2000-1-1-->
- Libav Libav:0.7.1<!--2000-1-1-->
- Libav Libav:0.7.2<!--2000-1-1-->
- Libav Libav:0.6<!--2000-1-1-->
- Libav Libav:0.6.3<!--2000-1-1-->
补丁
- ffmpeg-0.8.12<!--2012-6-9-->
- ffmpeg-0.7.13<!--2012-6-9-->
- ffmpeg-0.5.10<!--2012-6-9-->
- libav-0.7.3<!--2011-12-25-->
- libav-0.6.4<!--2011-12-25-->
还没有评论,来说两句吧...