ClickCease Vulnerabilidades de FFmpeg resueltas en Ubuntu

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Vulnerabilidades de FFmpeg resueltas en Ubuntu

por Rohan Timalsina

27 de octubre de 2023 - Equipo de expertos TuxCare

En las últimas actualizaciones de seguridad de Ubuntu se han solucionado varias vulnerabilidades de FFmpeg. Estas actualizaciones están disponibles para Ubuntu 20.04 LTS, Ubuntu 18.04 ESM y Ubuntu 16.04 ESM. Otras versiones de Ubuntu como 23.04, 22.04 y 23.01 aún no han recibido estos parches de seguridad.

 

Corregidas varias vulnerabilidades de FFmpeg

CVE-2020-22024

Se trata de un problema de desbordamiento de búfer detectado en el archivo lagfun_frame16 en libavfilter/vf_lagfun.c debido al manejo incorrecto de algunas entradas por parte de FFmpeg. Un atacante remoto puede utilizar este defecto para causar una denegación de servicio a través de un fallo de la aplicación. Sólo Ubuntu 20.04 LTS se vio afectado por este problema.

 

CVE-2020-22039

Se ha descubierto un problema de pérdida de memoria en el inavi_add_ientry debido a la incorrecta gestión de memoria de FFmpeg. Un atacante puede utilizar este fallo para provocar una denegación de servicio.

 

CVE-2020-22040

Una fuga de memoria en el v_frame_alloc en frame.c hacía que FFmpeg gestionara algunos archivos de forma incorrecta. Un atacante puede utilizar este defecto para causar una denegación de servicio. Tanto Ubuntu 18.04 LTS como Ubuntu 20.04 LTS se vieron afectados por este problema.

CVE-2021-28429

Se descubrió que timecode.c en FFmpeg procesaba algunos archivos MOV de forma incorrecta, lo que provocaba una vulnerabilidad de desbordamiento de enteros. Utilizando un archivo MOV manipulado, un atacante puede explotar este problema para causar una denegación de servicio. Este problema sólo afectaba a Ubuntu 16.04 LTS.

 

CVE-2020-22043

Una fuga de memoria en el fifo_alloc_common en libavutil/fifo.c hacía que FFmpeg gestionara algunos archivos de forma incorrecta. Un atacante puede utilizar este defecto para causar una denegación de servicio a través de un fallo de la aplicación.

 

CVE-2020-22051

Se descubrió que una fuga de memoria en vf_tile.c hacía que FFmpeg gestionara algunos archivos de forma incorrecta. Un atacante puede utilizar este problema para provocar una denegación de servicio si consigue engañar a un usuario o a un sistema automatizado para que procese un archivo MOV especialmente diseñado.

 

Reflexiones finales

Las vulnerabilidades FFmpeg abordadas son de gravedad media, como se describe en la base de datos CVE de Ubuntu. Ubuntu 20.04 LTS tiene soporte hasta 2025, por lo que las actualizaciones pueden aplicarse con normalidad. Pero Ubuntu 16.04 y Ubuntu 18.04 ya han llegado al final de su vida útil en 2021 y 2023, respectivamente. Eso significa que no obtendrás estas actualizaciones de seguridad de Ubuntu a menos que adquieras una suscripción a Ubuntu Pro.

Alternativamente, puedes considerar el uso de una opción mucho más asequible, el soporte extendido del ciclo de vida de TuxCare. TuxCare proporciona soporte extendido tanto para Ubuntu 16.04 como para Ubuntu 18.04 hasta 5 años adicionales después del periodo de fin de vida. Con los parches de seguridad del fabricante, puede garantizar la protección de su servidor Ubuntu y disfrutar de un entorno informático seguro.

 

Las fuentes están disponibles en USN-6430-1.

Resumen
Vulnerabilidades de FFmpeg resueltas en Ubuntu
Nombre del artículo
Vulnerabilidades de FFmpeg resueltas en Ubuntu
Descripción
Descubra las vulnerabilidades de FFmpeg, incluidos los desbordamientos de búfer y las fugas de memoria que se han corregido en las actualizaciones de seguridad de Ubuntu.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.