Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

FFmpeg <= 3.4 Betroffene Plattformen: Debian Linux 9.3 Stretch Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle in FFmpeg ausnutzen, um mittels einer manipulierten MPEG-Datei einen Fehler bzgl. der Vorzeicheneigenschaft eines Integer-Wertes (Integer Signedness Error) oder ein Lesen außerhalb eines Arrays (Out-of-Array Read) zu verursachen und so einen Denial-of-Service (DoS)-Zustand bewirken. Debian stellt für die stabile Distribution Stretch ein Backport-Sicherheitsupdate zur Verfügung, um die Schwachstelle zu beheben. Obwohl Debian in dem referenzierten Security Advisory nur eine Schwachstelle auflistet, so wird doch von mehreren (several) behobenen Schwachstellen besprochen. Als mögliche Auswirkung der erfolgreichen Ausnutzung der Schwachstellen ist laut Debian außerdem auch das Ausführen beliebigen Programmcodes möglich. Patch: Debian Security Advisory DSA-4099-1 https://www.debian.org/security/2018/dsa-4099

CVE-2017-17081: Schwachstelle in FFmpeg ermöglicht Denial-of-Service-Angriff

Die Funktion ‘gmc_mmx’ in ‘libavcodec/x86/mpegvideodsp.c’ in FFmpeg Version
3.4 validiert Breiten und Höhen nicht richtig.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0201/

Schwachstelle CVE-2017-17081 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-17081

Debian Security Advisory DSA-4099-1:
https://www.debian.org/security/2018/dsa-4099

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.