ClickCease 우분투에서 해결된 FFmpeg 취약점

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

우분투에서 해결된 FFmpeg 취약점

로한 티말시나

2023년 10월 27일 TuxCare 전문가 팀

최신 우분투 보안 업데이트에서 여러 가지 FFmpeg 취약점이 해결되었습니다. 이 업데이트는 우분투 20.04 LTS, 우분투 18.04 ESM 및 우분투 16.04 ESM에서 사용할 수 있습니다. 23.04, 22.04, 23.01과 같은 다른 우분투 릴리스에는 아직 이러한 보안 패치가 적용되지 않았습니다.

 

여러 FFmpeg 취약점 수정

CVE-2020-22024

이것은 버퍼 오버플로 문제입니다. lagfun_frame16 함수가 일부 입력을 부적절하게 처리하기 때문입니다. 원격 공격자는 이 결함을 사용하여 애플리케이션 충돌을 통해 서비스 거부를 일으킬 수 있습니다. 우분투 20.04 LTS만 이 문제의 영향을 받았습니다.

 

CVE-2020-22039

메모리 누수 문제가 발견되었습니다. inavi_add_ientry 기능을 사용할 수 없습니다. 공격자는 이 결함을 악용하여 서비스 거부를 일으킬 수 있습니다.

 

CVE-2020-22040

메모리 누수 v_frame_alloc 함수로 인해 FFmpeg가 일부 파일을 잘못 처리했습니다. 공격자는 이 결함을 악용하여 서비스 거부를 일으킬 수 있습니다. 우분투 18.04 LTS와 우분투 20.04 LTS 모두 이 문제의 영향을 받았습니다.

CVE-2021-28429

FFmpeg의 timecode.c가 일부 MOV 파일을 잘못 처리하여 정수 오버플로 취약성을 초래하는 것으로 발견되었습니다. 공격자는 조작된 MOV 파일을 사용하여 이 문제를 악용하여 서비스 거부를 일으킬 수 있습니다. 이 문제는 우분투 16.04 LTS에만 영향을 미쳤습니다.

 

CVE-2020-22043

메모리 누수 fifo_alloc_common 함수로 인해 FFmpeg가 일부 파일을 잘못 처리하게 되었습니다. 공격자는 이 결함을 악용하여 애플리케이션 충돌을 통해 서비스 거부를 일으킬 수 있습니다.

 

CVE-2020-22051

vf_tile.c의 메모리 누수로 인해 FFmpeg가 일부 파일을 잘못 처리하는 것으로 밝혀졌습니다. 공격자가 이 문제를 악용하여 사용자 또는 자동화된 시스템을 속여 특수하게 조작된 MOV 파일을 처리하도록 하는 경우 서비스 거부를 일으킬 수 있습니다.

 

최종 생각

해결된 FFmpeg 취약점은 우분투 CVE 데이터베이스에 설명된 대로 중간 정도의 심각도입니다. 우분투 20.04 LTS는 2025년까지 지원되므로 업데이트를 정상적으로 적용할 수 있습니다. 하지만 우분투 16.04와 우분투 18.04는 각각 2021년과 2023년에 이미 수명이 종료되었습니다. 즉, 우분투 프로 구독을 구매하지 않는 한 이러한 우분투 보안 업데이트를 받을 수 없습니다.

또는 훨씬 더 저렴한 옵션인 TuxCare의 수명 주기 연장 지원 사용을 고려할 수 있습니다. TuxCare는 우분투 16.04와 우분투 18.04 모두에 대해 수명 종료 기간 이후 최대 5년까지 연장 지원을 제공합니다. 공급업체 수준의 보안 패치를 통해 Ubuntu 서버를 보호하고 안전한 컴퓨팅 환경을 누릴 수 있습니다.

 

소스는 USN-6430-1에서 확인할 수 있습니다.

요약
우분투에서 해결된 FFmpeg 취약점
기사 이름
우분투에서 해결된 FFmpeg 취약점
설명
우분투 보안 업데이트에서 수정된 버퍼 오버플로 및 메모리 누수를 포함한 FFmpeg 취약점을 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기