FFmpeg bis 2.7.1 libavcodec/alac.c allocate_buffers Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in FFmpeg bis 2.7.1 ausgemacht. Sie wurde als problematisch eingestuft. Betroffen hiervon ist die Funktion allocate_buffers der Datei libavcodec/alac.c. Dank Manipulation mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden.
Diese Schwachstelle trägt die Bezeichnung CVE-2015-6823. Es gibt keinen verfügbaren Exploit.
Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Eine problematische Schwachstelle wurde in FFmpeg bis 2.7.1 (Multimedia Processing Software) ausgemacht. Betroffen davon ist die Funktion allocate_buffers der Datei libavcodec/alac.c. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-17. Mit Auswirkungen muss man rechnen für die Verfügbarkeit. CVE fasst zusammen:
The allocate_buffers function in libavcodec/alac.c in FFmpeg before 2.7.2 does not initialize certain context data, which allows remote attackers to cause a denial of service (segmentation violation) or possibly have unspecified other impact via crafted Apple Lossless Audio Codec (ALAC) data.Die Schwachstelle wurde am 06.09.2015 (Website) veröffentlicht. Das Advisory kann von git.videolan.org heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 05.09.2015 als CVE-2015-6823 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 86044 (FreeBSD : ffmpeg -- multiple vulnerabilities (3d950687-b4c9-4a86-8478-c56743547af8)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 176785 (Debian Security Update for libav (DLA 1611-2)) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 2.7.2 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (86044), SecurityFocus (BID 77073†) und Vulnerability Center (SBV-53327†) dokumentiert. Die Schwachstellen VDB-73166, VDB-77583, VDB-77584 und VDB-77585 sind ähnlich. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Name
Version
Lizenz
Webseite
- Produkt: https://ffmpeg.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-17
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 86044
Nessus Name: FreeBSD : ffmpeg -- multiple vulnerabilities (3d950687-b4c9-4a86-8478-c56743547af8)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 12024
OpenVAS Name: Mageia Linux Local Check: mgasa-2016-0018
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Upgrade: FFmpeg 2.7.2
Patch: f7068bf277a37479aecde2832208d820682b35e6
Timeline
05.09.2015 🔍05.09.2015 🔍
05.09.2015 🔍
06.09.2015 🔍
07.09.2015 🔍
09.10.2015 🔍
14.06.2022 🔍
Quellen
Produkt: ffmpeg.orgAdvisory: DLA 1611-2
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2015-6823 (🔍)
GCVE (CVE): GCVE-0-2015-6823
GCVE (VulDB): GCVE-100-77588
SecurityFocus: 77073
SecurityTracker: 1033483
Vulnerability Center: 53327 - FFmpeg before 2.7.2 Remote DoS or Unspecified Other Impact in allocate_buffers() via Crafted ALAC Data, High
Siehe auch: 🔍
Eintrag
Erstellt: 07.09.2015 10:12Aktualisierung: 14.06.2022 11:13
Anpassungen: 07.09.2015 10:12 (62), 04.02.2018 10:31 (6), 14.06.2022 11:06 (6), 14.06.2022 11:13 (1)
Komplett: 🔍
Cache ID: 216:812:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.