Dies Bundesamt zum Besten von Sicherheit in dieser Informationstechnik (BSI) hat am 08.08.2024 ein Update zu einer am 21.04.2024 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen zum Besten von ffmpeg veröffentlicht. Betroffen von dieser Sicherheitslücke sind dies operating system Linux sowie die Produkte Debian Linux, Fedora Linux, Ubuntu Linux, SUSE Linux und Open Source ffmpeg.

Die neuesten Hersteller-Empfehlungen bzgl. Updates, Workarounds und Sicherheitspatches zum Besten von selbige Sicherheitslücke finden Sie hier: SUSE Security Update SUSE-SU-2024:2864-1 (Stand: 09.08.2024). Weitere nützliche Sinister werden weiter unten in diesem Versteckspiel aufgeführt.

Mehrere Schwachstellen zum Besten von ffmpeg – Risiko: hoch

Risikostufe: 4 (hoch)
CVSS Cousine Score: 7,8
CVSS Zeitlich Score: 7,4
Remoteangriff: Nein

Zur Einschätzung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken hinaus Fundament verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Vorwort von Gegenmaßnahmen zu erstellen. Z. Hd. die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Dieser Cousine Score bewertet die Voraussetzungen zum Besten von vereinen Sturm (u.a. Authentifizierung, Varianz, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen gut die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Die Gefährdung dieser aktuellen Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 7,8 qua „hoch“ eingeschätzt.

ffmpeg Programmierfehler: Auswirkungen zwischen Auswertung dieser bekannten Schwachstellen

Dies FFmpeg-Projekt besteht aus freien Programmen und Bibliotheken, die es geben, digitales Video- und Audiomaterial aufzunehmen, zu transformieren, zu streamen und abzuspielen. Zudem enthält es mit libavcodec eine Audio- und Video-Codec-Sammlung, die verschiedene Codecs zur Verfügung stellt.

Ein Angreifer kann mehrere Schwachstellen in ffmpeg ausnutzen, um beliebigen Quelltext auszuführen oder vereinen ‚Denial of Tafelgeschirr‘-Zustand zu verursachen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Referenziersystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2023-49501, CVE-2023-49502, CVE-2023-50007, CVE-2023-50008, CVE-2023-50009, CVE-2023-50010, CVE-2023-51791, CVE-2023-51792, CVE-2023-51793, CVE-2023-51795, CVE-2023-51796, CVE-2023-51797 und CVE-2023-51798.

Von dieser ffmpeg-Sicherheitslücke betroffene Systeme im Übersicht

operating system
Linux

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Fedora Linux (cpe:/o:fedoraproject:fedora)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Open Source ffmpeg (cpe:/a:ffmpeg:ffmpeg)

Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken

1. User dieser betroffenen Systeme sollten selbige hinaus dem aktuellsten Stand halten. Hersteller sind zwischen Bekanntwerden von Sicherheitslücken dazu angehalten, selbige schnellstmöglich durch Fortgang eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie selbige zeitnah.
2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Segment aufgeführten Quellen. Mehrfach enthalten selbige weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich zwischen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit dies herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen gut Programmierfehler-Reports, Security-Fixes und Workarounds.

SUSE Security Update SUSE-SU-2024:2864-1 vom 2024-08-09 (08.08.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-August/019157.html

SUSE Security Update SUSE-SU-2024:2803-1 vom 2024-08-07 (06.08.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-August/019132.html

Debian Security Advisory DSA-5721 vom 2024-06-26 (26.06.2024)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2024/msg00132.html

Debian Security Advisory DSA-5712 vom 2024-06-15 (16.06.2024)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2024/msg00122.html

Ubuntu Security Notice USN-6803-1 vom 2024-05-30 (30.05.2024)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-6803-1

Fedora Security Advisory FEDORA-EPEL-2024-E94A7220F2 vom 2024-05-11 (12.05.2024)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2024-e94a7220f2

Fedora Security Advisory FEDORA-2024-DF7E365B4A vom 2024-05-11 (12.05.2024)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2024-df7e365b4a

SUSE Security Update SUSE-SU-2024:1592-1 vom 2024-05-10 (09.05.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-May/018499.html

SUSE Security Update SUSE-SU-2024:1593-1 vom 2024-05-10 (09.05.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-May/018498.html

Fedora Security Advisory FEDORA-EPEL-2024-AC000E6379 vom 2024-05-09 (09.05.2024)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2024-ac000e6379

Fedora Security Advisory FEDORA-2024-55E7E839F1 vom 2024-05-09 (09.05.2024)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2024-55e7e839f1

Fedora Security Advisory FEDORA-2024-F93392509C vom 2024-05-09 (09.05.2024)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2024-f93392509c

Fedora Security Advisory FEDORA-2024-92780A83F9 vom 2024-05-09 (09.05.2024)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2024-92780a83f9

Fedora Security Advisory FEDORA-EPEL-2024-F74FBCE604 vom 2024-05-09 (09.05.2024)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2024-f74fbce604

Ubuntu Security Notice USN-6764-1 vom 2024-05-07 (07.05.2024)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-6764-1

Fedora Security Advisory FEDORA-EPEL-2024-4EDAF658B7 vom 2024-05-05 (05.05.2024)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2024-4edaf658b7

Fedora Security Advisory FEDORA-EPEL-2024-808F3961EF vom 2024-05-02 (01.05.2024)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2024-808f3961ef

SUSE Security Update SUSE-SU-2024:1468-1 vom 2024-04-29 (29.04.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-Vierter Monat des Jahres/018441.html

SUSE Security Update SUSE-SU-2024:1470-1 vom 2024-04-29 (29.04.2024)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2024-Vierter Monat des Jahres/018440.html

Fedora Security Advisory FEDORA-EPEL-2024-0C24DA3136 vom 2024-04-25 (24.04.2024)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2024-0c24da3136

Proof of Concept (PoC) zum Besten von CVE-2023-51792 (21.04.2024)
Weitere Informationen finden Sie unter: https://github.com/strukturag/libde265/issues/427

Proof of Concept (PoC) zum Besten von CVE-2023-50010 (21.04.2024)
Weitere Informationen finden Sie unter: https://trac.ffmpeg.org/ticket/10702

Proof of Concept (PoC) zum Besten von CVE-2023-50009 (21.04.2024)
Weitere Informationen finden Sie unter: https://trac.ffmpeg.org/ticket/10699

Proof of Concept (PoC) zum Besten von CVE-2023-50008 (21.04.2024)
Weitere Informationen finden Sie unter: https://trac.ffmpeg.org/ticket/10701

Proof of Concept (PoC) zum Besten von CVE-2023-50007 (21.04.2024)
Weitere Informationen finden Sie unter: https://trac.ffmpeg.org/ticket/10700

Proof of Concept (PoC) zum Besten von CVE-2023-51798 (21.04.2024)
Weitere Informationen finden Sie unter: https://trac.ffmpeg.org/ticket/10758

Proof of Concept (PoC) zum Besten von CVE-2023-51797 (21.04.2024)
Weitere Informationen finden Sie unter: https://trac.ffmpeg.org/ticket/10756

Proof of Concept (PoC) zum Besten von CVE-2023-51796 (21.04.2024)
Weitere Informationen finden Sie unter: https://trac.ffmpeg.org/ticket/10753

Proof of Concept (PoC) zum Besten von CVE-2023-51795 (21.04.2024)
Weitere Informationen finden Sie unter: https://trac.ffmpeg.org/ticket/10749#no1

Proof of Concept (PoC) zum Besten von CVE-2023-51791 (21.04.2024)
Weitere Informationen finden Sie unter: https://trac.ffmpeg.org/ticket/10738

Proof of Concept (PoC) zum Besten von CVE-2023-49502 (21.04.2024)
Weitere Informationen finden Sie unter: https://trac.ffmpeg.org/ticket/10688

Proof of Concept (PoC) zum Besten von CVE-2023-49501 (21.04.2024)
Weitere Informationen finden Sie unter: https://trac.ffmpeg.org/ticket/10686

Red Hat Bugzilla vom 2024-04-21 (21.04.2024)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2276128

Red Hat Bugzilla vom 2024-04-21 (21.04.2024)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2276120

Red Hat Bugzilla vom 2024-04-21 (21.04.2024)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2276114

Versionshistorie dieser Sicherheitswarnung

Dies ist die 13. Version des vorliegenden IT-Sicherheitshinweises zum Besten von ffmpeg. Im Rahmen Veröffentlichung weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie unter Einsatz von dieser folgenden Versionshistorie wiederholen.

21.04.2024 – Initiale Halterung
24.04.2024 – Neue Updates von Fedora aufgenommen
29.04.2024 – Neue Updates von SUSE aufgenommen
01.05.2024 – Neue Updates von Fedora aufgenommen
05.05.2024 – Neue Updates von Fedora aufgenommen
07.05.2024 – Neue Updates von Ubuntu aufgenommen
09.05.2024 – Neue Updates von Fedora aufgenommen
12.05.2024 – Neue Updates von Fedora aufgenommen
30.05.2024 – Neue Updates von Ubuntu aufgenommen
16.06.2024 – Neue Updates von Debian aufgenommen
26.06.2024 – Neue Updates von Debian aufgenommen
06.08.2024 – Neue Updates von SUSE aufgenommen
08.08.2024 – Neue Updates von SUSE aufgenommen

+++ Redaktioneller Rauchsignal: Dieser Text wurde hinaus Fundament aktueller BSI-Datenansammlung generiert und wird je nachher Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hören Sie News.de schon zwischen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Kabel zur Redaktion.
kns/roj/news.de