FFmpeg-Schwachstellen in Ubuntu behoben
Mehrere FFmpeg-Schwachstellen wurden in den neuesten Ubuntu-Sicherheitsupdates behoben. Diese Updates sind für Ubuntu 20.04 LTS, Ubuntu 18.04 ESM und Ubuntu 16.04 ESM verfügbar. Andere Ubuntu-Versionen wie 23.04, 22.04 und 23.01 erhalten diese Sicherheitspatches noch nicht.
Mehrere FFmpeg-Schwachstellen behoben
CVE-2020-22024
Es handelt sich um ein Pufferüberlaufproblem, das in der lagfun_frame16
Funktion in libavfilter/vf_lagfun.c aufgrund der unsachgemäßen Behandlung einiger Eingaben durch FFmpeg. Ein entfernter Angreifer kann diesen Fehler nutzen, um einen Denial-of-Service durch einen Absturz der Anwendung zu verursachen. Nur Ubuntu 20.04 LTS war von diesem Problem betroffen.
CVE-2020-22039
Es wurde ein Speicherleck in der inavi_add_ientry
Funktion aufgrund der fehlerhaften Speicherverwaltung von FFmpeg. Ein Angreifer kann diesen Fehler ausnutzen, um einen Denial-of-Service auszulösen.
CVE-2020-22040
Ein Speicherleck in der v_frame_alloc
Funktion in frame.c veranlasste FFmpeg, einige Dateien falsch zu behandeln. Ein Angreifer kann diesen Fehler ausnutzen, um einen Denial-of-Service auszulösen. Sowohl Ubuntu 18.04 LTS als auch Ubuntu 20.04 LTS waren von diesem Problem betroffen.
CVE-2021-28429
Es wurde festgestellt, dass timecode.c in FFmpeg einige MOV-Dateien fehlerhaft verarbeitet, was zu einer Integer-Überlauf-Schwachstelle führt. Mit einer manipulierten MOV-Datei kann ein Angreifer dieses Problem ausnutzen, um einen Denial-of-Service auszulösen. Dieses Problem betrifft nur Ubuntu 16.04 LTS.
CVE-2020-22043
Ein Speicherleck in der fifo_alloc_common
Funktion in libavutil/fifo.c veranlasste FFmpeg, einige Dateien falsch zu behandeln. Ein Angreifer kann diesen Fehler ausnutzen, um einen Denial-of-Service durch einen Absturz der Anwendung zu verursachen.
CVE-2020-22051
Es wurde festgestellt, dass ein Speicherleck in vf_tile.c FFmpeg dazu veranlasst, einige Dateien falsch zu behandeln. Ein Angreifer kann dieses Problem ausnutzen, um einen Denial-of-Service auszulösen, wenn es ihm gelingt, einen Benutzer oder ein automatisiertes System zur Verarbeitung einer speziell gestalteten MOV-Datei zu verleiten.
Abschließende Überlegungen
Die angesprochenen FFmpeg-Schwachstellen sind von mittlerem Schweregrad, wie in der Ubuntu CVE-Datenbank beschrieben. Ubuntu 20.04 LTS wird bis 2025 unterstützt, so dass die Updates normal angewendet werden können. Aber Ubuntu 16.04 und Ubuntu 18.04 haben bereits das Ende ihrer Lebensdauer im Jahr 2021 bzw. 2023 erreicht. Das bedeutet, dass Sie diese Ubuntu-Sicherheitsupdates nicht erhalten, es sei denn, Sie erwerben ein Ubuntu Pro-Abonnement.
Alternativ können Sie auch eine viel günstigere Option in Betracht ziehen, den Extended Lifecycle Support von TuxCare. TuxCare bietet sowohl für Ubuntu 16.04 als auch für Ubuntu 18.04 einen erweiterten Support für bis zu 5 Jahre nach Ablauf des Lebenszyklus. Mit Sicherheitspatches in Herstellerqualität können Sie den Schutz Ihres Ubuntu-Servers gewährleisten und eine sichere Computerumgebung genießen.
Die Quellen sind unter USN-6430-1 zu finden.