Vulnerabilidad en FFmpeg en libavformat/mxfdec.c (CVE-2017-14170)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/09/2017
Última modificación:
20/04/2025
Descripción
En libavformat/mxfdec.c en FFmpeg versión 3.3.3 mayor a 2.4, en DoS una denegación de servicio en mxf_read_index_entry_array() por una falta de chequeos EOF (End of File) podría provocar un enorme consumo de recursos de la CPU. Cuando se proporciona un archivo MXF manipulado que pide un campo "nb_index_entries" grande en la cabecera pero no contiene suficientes datos de respaldo, el bucle consumiría una gran cantidad de recursos de CPU, ya que el bucle no contiene ningún chequeo EOF. Además, este gran bucle se invocaría en múltiples ocasiones si existe más de un segmento de datos aplicable en el archivo MXF manipulado
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
7.10
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ffmpeg:ffmpeg:3.3.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.debian.org/security/2017/dsa-3996
- http://www.securityfocus.com/bid/100700
- https://github.com/FFmpeg/FFmpeg/commit/900f39692ca0337a98a7cf047e4e2611071810c2
- https://github.com/FFmpeg/FFmpeg/commit/f173cdfe669556aa92857adafe60cbe5f2aa1210
- https://lists.debian.org/debian-lts-announce/2019/01/msg00006.html
- http://www.debian.org/security/2017/dsa-3996
- http://www.securityfocus.com/bid/100700
- https://github.com/FFmpeg/FFmpeg/commit/900f39692ca0337a98a7cf047e4e2611071810c2
- https://github.com/FFmpeg/FFmpeg/commit/f173cdfe669556aa92857adafe60cbe5f2aa1210
- https://lists.debian.org/debian-lts-announce/2019/01/msg00006.html