Описание
Уязвимость компонента libavcodec/dnxhddec.c мультимедийной библиотеки FFmpeg связана с непроверенным возвращаемым значением функции init_vlc. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Oracle Corp.
АО «Концерн ВНИИНС»
FFmpeg team
АО «ИВК»
АО "НППКТ"
Наименование ПО
Red Hat Enterprise Linux
Debian GNU/Linux
Astra Linux Special Edition
Astra Linux Special Edition для «Эльбрус»
GraalVM Enterprise Edition
OpenJDK
ОС ОН «Стрелец»
FFmpeg
Альт 8 СП
ОСОН ОСнова Оnyx
Версия ПО
7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
21.1.0 (GraalVM Enterprise Edition)
20.3.2 (GraalVM Enterprise Edition)
1.8.0-update291 (OpenJDK)
11.0.11 (OpenJDK)
16.0.1 (OpenJDK)
1.0 (ОС ОН «Стрелец»)
4.4 (FFmpeg)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
- (Альт 8 СП)
до 2.4 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» Альт 8 СП -
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости
Для FFmpeg:
использование рекомендаций производителя: https://patchwork.ffmpeg.org/project/ffmpeg/patch/PAXP193MB12624C21AE412BE95BA4D4A4B6F09@PAXP193MB1262.EURP193.PROD.OUTLOOK.COM/
Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-38114
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#08122021
Для ОСОН Основа:
Обновление программного обеспечения ffmpeg до версии 7:4.1.8-0+deb10u1
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет ffmpeg до 7:3.2.18-0+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения ffmpeg до версии 7:3.2.18-0+deb9u1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 37%
0.0015
Низкий
3.7 Low
CVSS3
4.3 Medium
CVSS2
Связанные уязвимости
CVSS3: 5.5
ubuntu
почти 4 года назад
libavcodec/dnxhddec.c in FFmpeg 4.4 does not check the return value of the init_vlc function, a similar issue to CVE-2013-0868.
CVSS3: 5.5
nvd
почти 4 года назад
libavcodec/dnxhddec.c in FFmpeg 4.4 does not check the return value of the init_vlc function, a similar issue to CVE-2013-0868.
CVSS3: 5.5
debian
почти 4 года назад
libavcodec/dnxhddec.c in FFmpeg 4.4 does not check the return value of ...
github
около 3 лет назад
libavcodec/dnxhddec.c in FFmpeg 4.4 does not check the return value of the init_vlc function, a similar issue to CVE-2013-0868.
EPSS
Процентиль: 37%
0.0015
Низкий
3.7 Low
CVSS3
4.3 Medium
CVSS2