[TLP:CLEAR] FFmpeg opravuje 3 zraniteľnosti
FFmpeg (multimedia framework používaný populárnymi aplikáciami, ako VLC Media Player a OBS Studio) verziami 7.0.2, 6.1.2, 6.0.1, 4.4.5, 4.3.8 a 4.2.10 opravuje 3 zraniteľnosti [6]. Podrobný zápis postihnutých verzií pre danú zraniteľnosť je možné nájsť vo webovej verzii reportu (odkaz nižšie). Zraniteľnosti CVE-2024-7055 a CVE-2024-7272 opravuje Debian vo vydaní bookworm (security) verziou 7:5.1.6-0+deb12u1 [2][3]. Slackware opravuje zraniteľnosti CVE-2023-47342 a CVE-2024-7055 [4].
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať pretečenie hromady, čo môže spôsobiť odopretie prístupu od služby alebo neoprávnené vykonávanie kódu [1]. K zraniteľnosti bolo zverejnené PoC [2].
Zraniteľnosť sa nachádza v produkte FFmpeg vo verziách (>=7 AND <7.0.2) OR (>=6.1 AND <6.1.2) OR (>=5.1 AND <5.1.6) OR (>=4.4 AND <4.4.5) OR (>=4.3 AND <4.3.8).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
Viac informácií:
- CVE-2024-7055 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 6. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať pretečenie hromady, čo môže spôsobiť odopretie prístupu od služby alebo neoprávnené vykonávanie kódu [3]. K zraniteľnosti bolo zverejnené PoC [4].
Zraniteľnosť sa nachádza v produkte FFmpeg vo verziách >=5.1 AND <5.1.6.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
Viac informácií:
- CVE-2024-7272 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 8. 8. 2024.
Útočníkovi je umožnené pristupovať v pamäti za hranicu poľa, čo môže spôsobiť neoprávnený prístup k informáciám, vykonávanie kódu ale DoS útok [5].
Zraniteľnosť sa nachádza v produkte FFmpeg vo verziách (==6.1) OR (==6) OR (>=5.1 AND <5.1.4) OR (>=4.4 AND <4.4.5) OR (>=4.3 AND <4.3.7) OR (>=4.2 AND <4.2.10).
Viac informácií:
- CVE-2023-47342 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 22. 3. 2024.
Odkazy
- [1] https://www.cve.org/CVERecord?id=CVE-2024-7055
- [2] https://github.com/CookedMelon/ReportCVE/tree/main/FFmpeg/poc3
- [3] https://www.cve.org/CVERecord?id=CVE-2024-7272
- [4] https://github.com/CookedMelon/ReportCVE/tree/main/FFmpeg/poc5
- [5] https://advisories.mageia.org/MGASA-2024-0083.html
- [6] https://ffmpeg.org/security.html