Ffmpeg任意文件读取漏洞

admin

0
文章

0
评论

2023-12-02 12:47:02 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 Ffmpeg任意文件读取漏洞

CVE编号

CVE-2017-9994

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-06-28

漏洞描述

在2.8.12之前的、3.0.8之前的3.0.x，3.1.8之前的3.1.x，3.2.5之前的3.2.x和3.3.1之前的3.3.x中的FFmpeg中的libavcodec / webp.c，并不能确保pix_fmt是set，允许远程攻击者导致拒绝服务(基于堆的缓冲区溢出和应用程序崩溃)，或者可能通过精心设计的文件产生未指定的其他影响，这与vp8_decode_mb_row_no_filter和pred8x8_128_dc_8_c函数相关。

解决建议

厂商已发布漏洞修复程序，请及时关注更新：https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=1434

参考链接
http://www.securityfocus.com/bid/99317
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=1434
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=1435
https://github.com/FFmpeg/FFmpeg/commit/6b5d3fb26fb4be48e4966e4b1d97c2165538d4ef
https://lists.debian.org/debian-lts-announce/2019/01/msg00006.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ffmpeg	ffmpeg	*		Up to (excluding) 2.8.12
	运行在以下环境
	应用	ffmpeg	ffmpeg	*	From (including) 3.0	Up to (excluding) 3.0.8
	运行在以下环境
	应用	ffmpeg	ffmpeg	*	From (including) 3.1	Up to (excluding) 3.1.8
	运行在以下环境
	应用	ffmpeg	ffmpeg	*	From (including) 3.2	Up to (excluding) 3.2.5
	运行在以下环境
	应用	ffmpeg	ffmpeg	*	From (including) 3.3	Up to (excluding) 3.3.1
	运行在以下环境
	系统	alpine_3.4	ffmpeg	*		Up to (excluding) 3.1.8-r0
	运行在以下环境
	系统	alpine_3.5	ffmpeg	*		Up to (excluding) 3.1.8-r0
	运行在以下环境
	系统	alpine_3.6	ffmpeg	*		Up to (excluding) 3.2.5-r0
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 0
	运行在以下环境
	系统	debian_10	ffmpeg	*		Up to (excluding) 7:3.2.5-1
	运行在以下环境
	系统	debian_11	ffmpeg	*		Up to (excluding) 7:3.2.5-1
	运行在以下环境
	系统	debian_12	ffmpeg	*		Up to (excluding) 7:3.2.5-1
	运行在以下环境
	系统	debian_sid	ffmpeg	*		Up to (excluding) 7:3.2.5-1
	运行在以下环境
	系统	ubuntu_16.04	ffmpeg	*		Up to (excluding) 7:2.8.14-0ubuntu0.16.04.1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	ffmpeg	*		Up to (excluding) 7:2.8.14-0ubuntu0.16.04.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	ffmpeg	*		Up to (excluding) 7:3.2.6-1
	运行在以下环境
	系统	ubuntu_18.10	ffmpeg	*		Up to (excluding) 7:3.2.6-1