Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-00748

Опубликовано: 06 янв. 2019
Источник: fstec
CVSS3: 6.5
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость функции ff_htmlmarkup_to_ass мультимедийной библиотеки FFmpeg связана с чтением за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании при помощи специально сформированного видеофайла в формате Matroska

Вендор

Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «РусБИТех-Астра»
Novell Inc.
FFmpeg team

Наименование ПО

Debian GNU/Linux
Ubuntu
Astra Linux Special Edition
SUSE Linux Enterprise Module for Open Buildservice Development Tools
SUSE Linux Enterprise Module for additional PackageHub
SUSE Linux Enterprise Module for Desktop Applications
SUSE Linux Enterprise Workstation Extension
FFmpeg

Версия ПО

9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
18.10 (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
19.04 (Ubuntu)
15 (SUSE Linux Enterprise Module for additional PackageHub)
15 (SUSE Linux Enterprise Module for Desktop Applications)
15 SP1 (SUSE Linux Enterprise Module for Desktop Applications)
15 (SUSE Linux Enterprise Workstation Extension)
15 SP1 (SUSE Linux Enterprise Workstation Extension)
15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
4.1 (FFmpeg)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 18.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Canonical Ltd. Ubuntu 19.04
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для ffmpeg:
Обновление программного обеспечения до 7:3.2.14-1~deb9u1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета ffmpeg) до 7:3.2.14-1~deb9u1 или более поздней версии
Для Ubuntu:
https://usn.ubuntu.com/3967-1/
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-9718/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 82%
0.01657
Низкий

6.5 Medium

CVSS3

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-9718

CVSS3: 6.5
ubuntu
почти 7 лет назад

In FFmpeg 3.2 and 4.1, a denial of service in the subtitle decoder allows attackers to hog the CPU via a crafted video file in Matroska format, because ff_htmlmarkup_to_ass in libavcodec/htmlsubtitles.c has a complex format argument to sscanf.

redhat логотип

CVE-2019-9718

CVSS3: 4.3
redhat
почти 7 лет назад

In FFmpeg 3.2 and 4.1, a denial of service in the subtitle decoder allows attackers to hog the CPU via a crafted video file in Matroska format, because ff_htmlmarkup_to_ass in libavcodec/htmlsubtitles.c has a complex format argument to sscanf.

nvd логотип

CVE-2019-9718

CVSS3: 6.5
nvd
почти 7 лет назад

In FFmpeg 3.2 and 4.1, a denial of service in the subtitle decoder allows attackers to hog the CPU via a crafted video file in Matroska format, because ff_htmlmarkup_to_ass in libavcodec/htmlsubtitles.c has a complex format argument to sscanf.

debian логотип

CVE-2019-9718

CVSS3: 6.5
debian
почти 7 лет назад

In FFmpeg 3.2 and 4.1, a denial of service in the subtitle decoder all ...

github логотип

GHSA-423p-f8g4-wmpc

CVSS3: 6.5
github
больше 3 лет назад

In FFmpeg 3.2 and 4.1, a denial of service in the subtitle decoder allows attackers to hog the CPU via a crafted video file in Matroska format, because ff_htmlmarkup_to_ass in libavcodec/htmlsubtitles.c has a complex format argument to sscanf.

EPSS

Процентиль: 82%
0.01657
Низкий

6.5 Medium

CVSS3

7.1 High

CVSS2