ClickCease Les vulnérabilités de FFmpeg corrigées dans Ubuntu

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Les vulnérabilités de FFmpeg corrigées dans Ubuntu

Rohan Timalsina

27 octobre 2023 - L'équipe d'experts de TuxCare

Plusieurs vulnérabilités de FFmpeg ont été corrigées dans les dernières mises à jour de sécurité d'Ubuntu. Ces mises à jour sont disponibles pour Ubuntu 20.04 LTS, Ubuntu 18.04 ESM et Ubuntu 16.04 ESM. D'autres versions d'Ubuntu comme 23.04, 22.04 et 23.01 n'ont pas encore reçu ces correctifs de sécurité.

 

Plusieurs vulnérabilités de FFmpeg corrigées

CVE-2020-22024

Il s'agit d'un problème de débordement de mémoire tampon découvert dans l'application lagfun_frame16 dans libavfilter/vf_lagfun.c à cause d'une mauvaise gestion de certaines entrées par FFmpeg. Un attaquant distant peut utiliser cette faille pour provoquer un déni de service par un plantage de l'application. Seule Ubuntu 20.04 LTS est concernée par ce problème.

 

CVE-2020-22039

Un problème de fuite de mémoire a été découvert dans le inavi_add_ientry à cause d'une mauvaise gestion de la mémoire par FFmpeg. Un attaquant peut utiliser cette faille pour provoquer un déni de service.

 

CVE-2020-22040

Une fuite de mémoire dans le v_frame_alloc dans frame.c fait que FFmpeg gère certains fichiers de manière incorrecte. Un attaquant peut utiliser cette faille pour provoquer un déni de service. Ubuntu 18.04 LTS et Ubuntu 20.04 LTS sont concernées par ce problème.

CVE-2021-28429

Il a été découvert que timecode.c dans FFmpeg traitait certains fichiers MOV de manière incorrecte, ce qui entraîne une vulnérabilité de type débordement d'entier. Un attaquant peut exploiter ce problème pour provoquer un déni de service à l'aide d'un fichier MOV conçu à cet effet. Ce problème ne concerne que Ubuntu 16.04 LTS.

 

CVE-2020-22043

Une fuite de mémoire dans le fifo_alloc_common dans libavutil/fifo.c permet à FFmpeg de gérer certains fichiers de manière incorrecte. Un attaquant peut utiliser cette faille pour provoquer un déni de service par un plantage de l'application.

 

CVE-2020-22051

Il a été découvert qu'une fuite de mémoire dans vf_tile.c permettait à FFmpeg de traiter certains fichiers de manière incorrecte. Un attaquant peut utiliser ce problème pour provoquer un déni de service s'il parvient à tromper un utilisateur ou un système automatisé en traitant un fichier MOV spécialement conçu.

 

Réflexions finales

Les vulnérabilités FFmpeg corrigées sont de sévérité moyenne, comme décrit dans la base de données CVE d'Ubuntu. Ubuntu 20.04 LTS est supporté jusqu'en 2025, les mises à jour peuvent donc être appliquées normalement. Mais Ubuntu 16.04 et Ubuntu 18.04 ont déjà atteint leur fin de vie en 2021 et 2023, respectivement. Cela signifie que vous ne recevrez pas ces mises à jour de sécurité Ubuntu à moins d'acheter un abonnement Ubuntu Pro.

Vous pouvez également opter pour une option beaucoup plus abordable, l'Extended Lifecycle Support de TuxCare. TuxCare fournit un support étendu pour Ubuntu 16.04 et Ubuntu 18.04 jusqu'à 5 ans supplémentaires après la fin de la période de vie. Grâce aux correctifs de sécurité de qualité, vous pouvez assurer la protection de votre serveur Ubuntu et profiter d'un environnement informatique sûr et sécurisé.

 

Les sources sont disponibles à l'adresse USN-6430-1.

Résumé
Les vulnérabilités de FFmpeg corrigées dans Ubuntu
Nom de l'article
Les vulnérabilités de FFmpeg corrigées dans Ubuntu
Description
Découvrez les vulnérabilités de FFmpeg, notamment les débordements de mémoire tampon et les fuites de mémoire, qui ont été corrigées dans les mises à jour de sécurité d'Ubuntu.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information