Vulnerabilidad en el archivo libavcodec/utils.c en la función avcodec_open2 en Ffmpeg (CVE-2019-17539)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-476
Desreferencia a puntero nulo (NULL)
Fecha de publicación:
14/10/2019
Última modificación:
10/06/2021
Descripción
En FFmpeg versiones anteriores a 4.2, la función avcodec_open2 en el archivo libavcodec/utils.c permite una desreferencia del puntero NULL y posiblemente otro impacto no especificado cuando no existe un puntero de función de cierre válido.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ffmpeg:ffmpeg:*:*:*:*:*:*:*:* | 3.4.7 (excluyendo) | |
| cpe:2.3:a:ffmpeg:ffmpeg:*:*:*:*:*:*:*:* | 4.0 (incluyendo) | 4.0.5 (excluyendo) |
| cpe:2.3:a:ffmpeg:ffmpeg:*:*:*:*:*:*:*:* | 4.1 (incluyendo) | 4.1.5 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:20.04:*:*:*:lts:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=15733
- https://github.com/FFmpeg/FFmpeg/commit/8df6884832ec413cf032dfaa45c23b1c7876670c
- https://lists.debian.org/debian-lts-announce/2021/01/msg00026.html
- https://security.gentoo.org/glsa/202003-65
- https://usn.ubuntu.com/4431-1/
- https://www.debian.org/security/2020/dsa-4722