VDB-80791 · CVE-2016-2213 · BID 82281

FFmpeg до 2.8.5 JPEG 2000 Data libavcodec/jpeg2000dec.c jpeg2000_decode_tile повреждение памяти

CVSS Meta Temp ScoreТекущая цена эксплуатации (≈)Балл интереса CTI
6.3$0-$5k0.00

Уязвимость была найдена в FFmpeg до 2.8.5. Она была классифицирована как критический. Затронута функция jpeg2000_decode_tile файла libavcodec/jpeg2000dec.c компонента JPEG 2000 Data Handler. Определение CWE для уязвимости следующее CWE-119. Консультацию можно прочитать на сайте git.videolan.org.

Эта уязвимость известна как CVE-2016-2213. Назначение CVE произошло 03.02.2016. Атака может быть инициирована удаленно. Имеются технические подробности. Популярность этой уязвимости ниже среднего. Эксплойт отсутствует. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время.

Объявляется Не определено. Мы ожидаем, что 0-день стоил приблизительно $0-$5k. Сканер уязвимостей Nessus предоставляет плагин с ID 88604 (FreeBSD : ffmpeg -- remote denial of service in JPEG2000 decoder (6ac79ed8-ccc2-11e5-932b-5404a68ad561)), который помогает определить наличие изъяна в целевой среде. Он относится к семейству FreeBSD Local Security Checks. Плагин работает в контексте типа l.

Обновление до версии 2.8.6 способно решить эту проблему. Исправление готово для загрузки по адресу git.videolan.org. Рекомендуется обновить затронутый компонент.

Эта уязвимость также документирована в других базах данных уязвимостей: SecurityFocus (BID 82281), Vulnerability Center (SBV-57385) и Tenable (88604).

ПродуктИнформация

Тип

Имя

Версия

Лицензия

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Вектор: 🔍
VulDB Надежность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 6.5
VulDB Meta Temp Score: 6.3

VulDB Базовый балл: 6.5
VulDB Временная оценка: 6.2
VulDB Вектор: 🔍
VulDB Надежность: 🔍

NVD Базовый балл: 6.5
NVD Вектор: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надежность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: повреждение памяти
CWE: CWE-119
ATT&CK: Неизвестно

Локальный: Нет
Удаленный: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогнозирование цены: 🔍
Оценка текущей цены: 🔍

0-Dayразблокироватьразблокироватьразблокироватьразблокировать
Сегодняразблокироватьразблокироватьразблокироватьразблокировать

Nessus ID: 88604
Nessus Имя: FreeBSD : ffmpeg -- remote denial of service in JPEG2000 decoder (6ac79ed8-ccc2-11e5-932b-5404a68ad561)
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Context: 🔍

OpenVAS ID: 12024
OpenVAS Имя: Mageia Linux Local Check: mgasa-2016-0060
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендуется: Обновление
Статус: 🔍

Время реакции: 🔍
0-дневное время: 🔍
Время эксплойта: 🔍

Обновление: FFmpeg 2.8.6
Патч: 0aada30510d809bccfd539a90ea37b61188f2cb4

Временная шкалаИнформация

01.02.2016 🔍
01.02.2016 +0 дни 🔍
03.02.2016 +2 дни 🔍
03.02.2016 +0 дни 🔍
03.02.2016 +0 дни 🔍
05.02.2016 +2 дни 🔍
06.02.2016 +1 дни 🔍
08.02.2016 +2 дни 🔍
17.03.2016 +38 дни 🔍
07.07.2022 +2303 дни 🔍

ИсточникиИнформация

Продукт: ffmpeg.org

Консультация: git.videolan.org
Исследователь: Lucas Leong
Статус: Подтвержденный
Подтверждение: 🔍

CVE: CVE-2016-2213 (🔍)
SecurityTracker: 1034923
Vulnerability Center: 57385 - FFmpeg Remote DoS or Code Execution in libavcodec/jpeg2000dec.c, Medium
SecurityFocus: 82281 - FFmpeg 'jpeg2000dec.c' Denial of Service Vulnerability

ВходИнформация

Создано: 05.02.2016 09:47
Обновлено: 07.07.2022 06:50
Изменения: 05.02.2016 09:47 (73), 01.02.2019 14:41 (14), 07.07.2022 06:50 (5)
Завершить: 🔍

Обсуждение

Комментариев пока нет. Языки: ru + en.

Пожалуйста, войдите в систему, чтобы прокомментировать.

ПредыдущийОбзорДалее

Do you know our Splunk app?

Download it now for free!