Vulnerabilidades de FFmpeg resueltas en Ubuntu
En las últimas actualizaciones de seguridad de Ubuntu se han solucionado varias vulnerabilidades de FFmpeg. Estas actualizaciones están disponibles para Ubuntu 20.04 LTS, Ubuntu 18.04 ESM y Ubuntu 16.04 ESM. Otras versiones de Ubuntu como 23.04, 22.04 y 23.01 aún no han recibido estos parches de seguridad.
Corregidas varias vulnerabilidades de FFmpeg
CVE-2020-22024
Se trata de un problema de desbordamiento de búfer detectado en el archivo lagfun_frame16
en libavfilter/vf_lagfun.c debido al manejo incorrecto de algunas entradas por parte de FFmpeg. Un atacante remoto puede utilizar este defecto para causar una denegación de servicio a través de un fallo de la aplicación. Sólo Ubuntu 20.04 LTS se vio afectado por este problema.
CVE-2020-22039
Se ha descubierto un problema de pérdida de memoria en el inavi_add_ientry
debido a la incorrecta gestión de memoria de FFmpeg. Un atacante puede utilizar este fallo para provocar una denegación de servicio.
CVE-2020-22040
Una fuga de memoria en el v_frame_alloc
en frame.c hacía que FFmpeg gestionara algunos archivos de forma incorrecta. Un atacante puede utilizar este defecto para causar una denegación de servicio. Tanto Ubuntu 18.04 LTS como Ubuntu 20.04 LTS se vieron afectados por este problema.
CVE-2021-28429
Se descubrió que timecode.c en FFmpeg procesaba algunos archivos MOV de forma incorrecta, lo que provocaba una vulnerabilidad de desbordamiento de enteros. Utilizando un archivo MOV manipulado, un atacante puede explotar este problema para causar una denegación de servicio. Este problema sólo afectaba a Ubuntu 16.04 LTS.
CVE-2020-22043
Una fuga de memoria en el fifo_alloc_common
en libavutil/fifo.c hacía que FFmpeg gestionara algunos archivos de forma incorrecta. Un atacante puede utilizar este defecto para causar una denegación de servicio a través de un fallo de la aplicación.
CVE-2020-22051
Se descubrió que una fuga de memoria en vf_tile.c hacía que FFmpeg gestionara algunos archivos de forma incorrecta. Un atacante puede utilizar este problema para provocar una denegación de servicio si consigue engañar a un usuario o a un sistema automatizado para que procese un archivo MOV especialmente diseñado.
Reflexiones finales
Las vulnerabilidades FFmpeg abordadas son de gravedad media, como se describe en la base de datos CVE de Ubuntu. Ubuntu 20.04 LTS tiene soporte hasta 2025, por lo que las actualizaciones pueden aplicarse con normalidad. Pero Ubuntu 16.04 y Ubuntu 18.04 ya han llegado al final de su vida útil en 2021 y 2023, respectivamente. Eso significa que no obtendrás estas actualizaciones de seguridad de Ubuntu a menos que adquieras una suscripción a Ubuntu Pro.
Alternativamente, puedes considerar el uso de una opción mucho más asequible, el soporte extendido del ciclo de vida de TuxCare. TuxCare proporciona soporte extendido tanto para Ubuntu 16.04 como para Ubuntu 18.04 hasta 5 años adicionales después del periodo de fin de vida. Con los parches de seguridad del fabricante, puede garantizar la protección de su servidor Ubuntu y disfrutar de un entorno informático seguro.
Las fuentes están disponibles en USN-6430-1.