📚 FFmpeg bis 2.8.3 JPEG 2000 Data Handler libavcodec/jpeg2000dwt.c ff_dwt_decode Denial of Service
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 79903
Betroffen: FFmpeg bis 2.8.3
Veröffentlicht: 24.12.2015
Risiko: problematisch
Erstellt: 25.12.2015
Eintrag: 68.3% komplett
Beschreibung
In FFmpeg bis 2.8.3 wurde eine problematische Schwachstelle entdeckt. Dabei geht es um die Funktion ff_dwt_decode
der Datei libavcodec/jpeg2000dwt.c der Komponente JPEG 2000 Data Handler. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (Out-of-Bounds) ausgenutzt werden. Auswirken tut sich dies auf die Verfügbarkeit.
Die Schwachstelle wurde am 24.12.2015 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2015-8662 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Ein Aktualisieren auf die Version 2.8.4 vermag dieses Problem zu lösen.CVSS
Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P) [?]
Temp Score: 3.7 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:ffmpeg:ffmpeg:2.8.0
- cpe:/a:ffmpeg:ffmpeg:2.8.1
- cpe:/a:ffmpeg:ffmpeg:2.8.2
- cpe:/a:ffmpeg:ffmpeg:2.8.3
Exploiting
Klasse: Denial of Service
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: FFmpeg 2.8.4
Timeline
24.12.2015 | Advisory veröffentlicht
25.12.2015 | VulDB Eintrag erstellt
25.12.2015 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-8662 (mitre.org) (nvd.nist.org) (cvedetails.com)
...