우분투에서 해결된 FFmpeg 취약점
최신 우분투 보안 업데이트에서 여러 가지 FFmpeg 취약점이 해결되었습니다. 이 업데이트는 우분투 20.04 LTS, 우분투 18.04 ESM 및 우분투 16.04 ESM에서 사용할 수 있습니다. 23.04, 22.04, 23.01과 같은 다른 우분투 릴리스에는 아직 이러한 보안 패치가 적용되지 않았습니다.
여러 FFmpeg 취약점 수정
CVE-2020-22024
이것은 버퍼 오버플로 문제입니다. lagfun_frame16
함수가 일부 입력을 부적절하게 처리하기 때문입니다. 원격 공격자는 이 결함을 사용하여 애플리케이션 충돌을 통해 서비스 거부를 일으킬 수 있습니다. 우분투 20.04 LTS만 이 문제의 영향을 받았습니다.
CVE-2020-22039
메모리 누수 문제가 발견되었습니다. inavi_add_ientry
기능을 사용할 수 없습니다. 공격자는 이 결함을 악용하여 서비스 거부를 일으킬 수 있습니다.
CVE-2020-22040
메모리 누수 v_frame_alloc
함수로 인해 FFmpeg가 일부 파일을 잘못 처리했습니다. 공격자는 이 결함을 악용하여 서비스 거부를 일으킬 수 있습니다. 우분투 18.04 LTS와 우분투 20.04 LTS 모두 이 문제의 영향을 받았습니다.
CVE-2021-28429
FFmpeg의 timecode.c가 일부 MOV 파일을 잘못 처리하여 정수 오버플로 취약성을 초래하는 것으로 발견되었습니다. 공격자는 조작된 MOV 파일을 사용하여 이 문제를 악용하여 서비스 거부를 일으킬 수 있습니다. 이 문제는 우분투 16.04 LTS에만 영향을 미쳤습니다.
CVE-2020-22043
메모리 누수 fifo_alloc_common
함수로 인해 FFmpeg가 일부 파일을 잘못 처리하게 되었습니다. 공격자는 이 결함을 악용하여 애플리케이션 충돌을 통해 서비스 거부를 일으킬 수 있습니다.
CVE-2020-22051
vf_tile.c의 메모리 누수로 인해 FFmpeg가 일부 파일을 잘못 처리하는 것으로 밝혀졌습니다. 공격자가 이 문제를 악용하여 사용자 또는 자동화된 시스템을 속여 특수하게 조작된 MOV 파일을 처리하도록 하는 경우 서비스 거부를 일으킬 수 있습니다.
최종 생각
해결된 FFmpeg 취약점은 우분투 CVE 데이터베이스에 설명된 대로 중간 정도의 심각도입니다. 우분투 20.04 LTS는 2025년까지 지원되므로 업데이트를 정상적으로 적용할 수 있습니다. 하지만 우분투 16.04와 우분투 18.04는 각각 2021년과 2023년에 이미 수명이 종료되었습니다. 즉, 우분투 프로 구독을 구매하지 않는 한 이러한 우분투 보안 업데이트를 받을 수 없습니다.
또는 훨씬 더 저렴한 옵션인 TuxCare의 수명 주기 연장 지원 사용을 고려할 수 있습니다. TuxCare는 우분투 16.04와 우분투 18.04 모두에 대해 수명 종료 기간 이후 최대 5년까지 연장 지원을 제공합니다. 공급업체 수준의 보안 패치를 통해 Ubuntu 서버를 보호하고 안전한 컴퓨팅 환경을 누릴 수 있습니다.
소스는 USN-6430-1에서 확인할 수 있습니다.