Описание
Уязвимость функции av_hwframe_ctx_init мультимедийной библиотеки FFmpeg связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных
Вендор
Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
FFmpeg team
АО "НППКТ"
Наименование ПО
Ubuntu
Debian GNU/Linux
Astra Linux Special Edition
Astra Linux Common Edition
FFmpeg
ОСОН ОСнова Оnyx
Версия ПО
18.04 LTS (Ubuntu)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
22.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Common Edition)
24.04 LTS (Ubuntu)
до 7.0 (FFmpeg)
1.8 (Astra Linux Special Edition)
до 2.12 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Canonical Ltd. Ubuntu 22.04 LTS
ООО «РусБИТех-Астра» Astra Linux Common Edition 1.6 «Смоленск»
Canonical Ltd. Ubuntu 24.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО "НППКТ" ОСОН ОСнова Оnyx до 2.12
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для FFmpeg:
https://github.com/ffmpeg/ffmpeg/commit/3bb00c0a420c3ce83c6fafee30270d69622ccad7
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-31578
Для Ubuntu:
https://ubuntu.com/security/CVE-2024-31578
Для ОС Astra Linux:
обновить пакет ffmpeg до 7:5.1.6-0+deb12u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Обновление программного обеспечения ffmpeg до версии 7:4.3.8-0+deb11u1
Для ОС Astra Linux:
- обновить пакет ffmpeg до 7:4.1.11-0+deb10u1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет ffmpeg5 до 7:5.1.3-1astra11+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
- обновить пакет ffmpeg до 7:4.1.11-0+deb10u1+ci5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет ffmpeg5 до 7:5.1.3-4astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
Для ОС Astra Linux:
обновить пакет ffmpeg до 7:3.2.19-0+deb9u7+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 57%
0.00351
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
почти 2 года назад
FFmpeg version n6.1.1 was discovered to contain a heap use-after-free via the av_hwframe_ctx_init function.
CVSS3: 7.5
nvd
почти 2 года назад
FFmpeg version n6.1.1 was discovered to contain a heap use-after-free via the av_hwframe_ctx_init function.
CVSS3: 7.5
debian
почти 2 года назад
FFmpeg version n6.1.1 was discovered to contain a heap use-after-free ...
CVSS3: 7.5
github
почти 2 года назад
FFmpeg version n6.1.1 was discovered to contain a heap use-after-free via the av_hwframe_ctx_init function.
EPSS
Процентиль: 57%
0.00351
Низкий
7.5 High
CVSS3
7.8 High
CVSS2