Описание
Уязвимость декодера CAF мультимедийной библиотеки FFmpeg связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании
Вендор
Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
FFmpeg team
Наименование ПО
Ubuntu
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Astra Linux Common Edition
FFmpeg
Версия ПО
16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
22.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Common Edition)
1.8 (Astra Linux Special Edition)
до 5.1.5 (FFmpeg)
от 6.0 до 7.0 (FFmpeg)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Canonical Ltd. Ubuntu 22.04 LTS
ООО «РусБИТех-Астра» Astra Linux Common Edition 1.6 «Смоленск»
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,2)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для FFmpeg:
https://github.com/ffmpeg/ffmpeg/commit/d973fcbcc2f944752ff10e6a76b0b2d9329937a7
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-36617
Для Ubuntu:
https://ubuntu.com/security/CVE-2024-36617
Для ОС Astra Linux:
обновить пакет ffmpeg до 7:5.1.6-0+deb12u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
- обновить пакет ffmpeg до 7:4.1.11-0+deb10u4+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет ffmpeg5 до 7:5.1.3-4astra1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Для ОС Astra Linux:
- обновить пакет ffmpeg до 7:4.1.11-0+deb10u4+ci4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет ffmpeg5 до 7:5.1.3-4astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
Для ОС Astra Linux:
обновить пакет ffmpeg до 7:3.2.19-0+deb9u7+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 3%
0.00017
Низкий
6.2 Medium
CVSS3
4.9 Medium
CVSS2
Связанные уязвимости
CVSS3: 6.2
ubuntu
около 1 года назад
FFmpeg n6.1.1 has an integer overflow vulnerability in the FFmpeg CAF decoder.
CVSS3: 6.2
nvd
около 1 года назад
FFmpeg n6.1.1 has an integer overflow vulnerability in the FFmpeg CAF decoder.
CVSS3: 6.2
debian
около 1 года назад
FFmpeg n6.1.1 has an integer overflow vulnerability in the FFmpeg CAF ...
CVSS3: 6.2
github
около 1 года назад
FFmpeg n6.1.1 has an integer overflow vulnerability in the FFmpeg CAF decoder.
EPSS
Процентиль: 3%
0.00017
Низкий
6.2 Medium
CVSS3
4.9 Medium
CVSS2