Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2017-02086

Опубликовано: 07 сент. 2017
Источник: fstec
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость функции mxf_read_index_entry_array (libavformat/mxfdec.c) мультимедийной библиотеки FFmpeg связана с ошибками управления ресурсом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать расход вычислительных ресурсов и отказ в обслуживании с помощью специально созданного файла формата MXF, который требует большого значения поля «nb_index_entries» в заголовке, но не содержит достаточных резервных данных, поэтому цикл потребляет значительные ресурсы ЦП, поскольку в нем нет проверки EOF

Вендор

FFmpeg team

Наименование ПО

FFmpeg

Версия ПО

3.3.3 (FFmpeg)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)

Возможные меры по устранению уязвимости

Используемые рекомендации:
https://github.com/FFmpeg/FFmpeg/commit/900f39692ca0337a98a7cf047e4e2611071810c2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 61%
0.00416
Низкий

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-14170

CVSS3: 6.5
ubuntu
больше 8 лет назад

In libavformat/mxfdec.c in FFmpeg 3.3.3 -> 2.4, a DoS in mxf_read_index_entry_array() due to lack of an EOF (End of File) check might cause huge CPU consumption. When a crafted MXF file, which claims a large "nb_index_entries" field in the header but does not contain sufficient backing data, is provided, the loop would consume huge CPU resources, since there is no EOF check inside the loop. Moreover, this big loop can be invoked multiple times if there is more than one applicable data segment in the crafted MXF file.

nvd логотип

CVE-2017-14170

CVSS3: 6.5
nvd
больше 8 лет назад

In libavformat/mxfdec.c in FFmpeg 3.3.3 -> 2.4, a DoS in mxf_read_index_entry_array() due to lack of an EOF (End of File) check might cause huge CPU consumption. When a crafted MXF file, which claims a large "nb_index_entries" field in the header but does not contain sufficient backing data, is provided, the loop would consume huge CPU resources, since there is no EOF check inside the loop. Moreover, this big loop can be invoked multiple times if there is more than one applicable data segment in the crafted MXF file.

debian логотип

CVE-2017-14170

CVSS3: 6.5
debian
больше 8 лет назад

In libavformat/mxfdec.c in FFmpeg 3.3.3 -> 2.4, a DoS in mxf_read_inde ...

github логотип

GHSA-xv94-736p-6866

CVSS3: 6.5
github
больше 3 лет назад

In libavformat/mxfdec.c in FFmpeg 3.3.3 -> 2.4, a DoS in mxf_read_index_entry_array() due to lack of an EOF (End of File) check might cause huge CPU consumption. When a crafted MXF file, which claims a large "nb_index_entries" field in the header but does not contain sufficient backing data, is provided, the loop would consume huge CPU resources, since there is no EOF check inside the loop. Moreover, this big loop can be invoked multiple times if there is more than one applicable data segment in the crafted MXF file.

suse-cvrf логотип

openSUSE-SU-2017:2501-1

suse-cvrf
больше 8 лет назад

Security update for ffmpeg, ffmpeg2

EPSS

Процентиль: 61%
0.00416
Низкий

7.1 High

CVSS2