ClickCease FFmpeg-Schwachstellen in Ubuntu behoben

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

FFmpeg-Schwachstellen in Ubuntu behoben

von Rohan Timalsina

27. Oktober 2023. TuxCare-Expertenteam

Mehrere FFmpeg-Schwachstellen wurden in den neuesten Ubuntu-Sicherheitsupdates behoben. Diese Updates sind für Ubuntu 20.04 LTS, Ubuntu 18.04 ESM und Ubuntu 16.04 ESM verfügbar. Andere Ubuntu-Versionen wie 23.04, 22.04 und 23.01 erhalten diese Sicherheitspatches noch nicht.

 

Mehrere FFmpeg-Schwachstellen behoben

CVE-2020-22024

Es handelt sich um ein Pufferüberlaufproblem, das in der lagfun_frame16 Funktion in libavfilter/vf_lagfun.c aufgrund der unsachgemäßen Behandlung einiger Eingaben durch FFmpeg. Ein entfernter Angreifer kann diesen Fehler nutzen, um einen Denial-of-Service durch einen Absturz der Anwendung zu verursachen. Nur Ubuntu 20.04 LTS war von diesem Problem betroffen.

 

CVE-2020-22039

Es wurde ein Speicherleck in der inavi_add_ientry Funktion aufgrund der fehlerhaften Speicherverwaltung von FFmpeg. Ein Angreifer kann diesen Fehler ausnutzen, um einen Denial-of-Service auszulösen.

 

CVE-2020-22040

Ein Speicherleck in der v_frame_alloc Funktion in frame.c veranlasste FFmpeg, einige Dateien falsch zu behandeln. Ein Angreifer kann diesen Fehler ausnutzen, um einen Denial-of-Service auszulösen. Sowohl Ubuntu 18.04 LTS als auch Ubuntu 20.04 LTS waren von diesem Problem betroffen.

CVE-2021-28429

Es wurde festgestellt, dass timecode.c in FFmpeg einige MOV-Dateien fehlerhaft verarbeitet, was zu einer Integer-Überlauf-Schwachstelle führt. Mit einer manipulierten MOV-Datei kann ein Angreifer dieses Problem ausnutzen, um einen Denial-of-Service auszulösen. Dieses Problem betrifft nur Ubuntu 16.04 LTS.

 

CVE-2020-22043

Ein Speicherleck in der fifo_alloc_common Funktion in libavutil/fifo.c veranlasste FFmpeg, einige Dateien falsch zu behandeln. Ein Angreifer kann diesen Fehler ausnutzen, um einen Denial-of-Service durch einen Absturz der Anwendung zu verursachen.

 

CVE-2020-22051

Es wurde festgestellt, dass ein Speicherleck in vf_tile.c FFmpeg dazu veranlasst, einige Dateien falsch zu behandeln. Ein Angreifer kann dieses Problem ausnutzen, um einen Denial-of-Service auszulösen, wenn es ihm gelingt, einen Benutzer oder ein automatisiertes System zur Verarbeitung einer speziell gestalteten MOV-Datei zu verleiten.

 

Abschließende Überlegungen

Die angesprochenen FFmpeg-Schwachstellen sind von mittlerem Schweregrad, wie in der Ubuntu CVE-Datenbank beschrieben. Ubuntu 20.04 LTS wird bis 2025 unterstützt, so dass die Updates normal angewendet werden können. Aber Ubuntu 16.04 und Ubuntu 18.04 haben bereits das Ende ihrer Lebensdauer im Jahr 2021 bzw. 2023 erreicht. Das bedeutet, dass Sie diese Ubuntu-Sicherheitsupdates nicht erhalten, es sei denn, Sie erwerben ein Ubuntu Pro-Abonnement.

Alternativ können Sie auch eine viel günstigere Option in Betracht ziehen, den Extended Lifecycle Support von TuxCare. TuxCare bietet sowohl für Ubuntu 16.04 als auch für Ubuntu 18.04 einen erweiterten Support für bis zu 5 Jahre nach Ablauf des Lebenszyklus. Mit Sicherheitspatches in Herstellerqualität können Sie den Schutz Ihres Ubuntu-Servers gewährleisten und eine sichere Computerumgebung genießen.

 

Die Quellen sind unter USN-6430-1 zu finden.

Zusammenfassung
FFmpeg-Schwachstellen in Ubuntu behoben
Artikel Name
FFmpeg-Schwachstellen in Ubuntu behoben
Beschreibung
Entdecken Sie die FFmpeg-Schwachstellen, einschließlich Pufferüberläufe und Speicherlecks, die in den Ubuntu-Sicherheitsupdates behoben wurden.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!