阿里云漏洞库

低危 FFmpeg 代码问题漏洞

CVE编号

CVE-2019-17539

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-10-14

漏洞描述

FFmpeg是FFmpeg团队的一套可录制、转换以及流化音视频的完整解决方案。

FFmpeg 4.2之前版本中的‘avcodec_open2’函数存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://github.com/FFmpeg/FFmpeg/commit/8df6884832ec413cf032dfaa45c23b1c7876670c

参考链接
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=15733
https://github.com/FFmpeg/FFmpeg/commit/8df6884832ec413cf032dfaa45c23b1c7876670c
https://lists.debian.org/debian-lts-announce/2021/01/msg00026.html
https://security.gentoo.org/glsa/202003-65
https://usn.ubuntu.com/4431-1/
https://www.debian.org/security/2020/dsa-4722

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ffmpeg	ffmpeg	*		Up to (excluding) 4.2
	运行在以下环境
	系统	alpine_3.10	ffmpeg	*		Up to (excluding) 4.1.5-r0
	运行在以下环境
	系统	alpine_3.12	ffmpeg	*		Up to (excluding) 4.2-r0
	运行在以下环境
	系统	alpine_3.13	ffmpeg	*		Up to (excluding) 4.2-r0
	运行在以下环境
	系统	alpine_3.14	ffmpeg	*		Up to (excluding) 4.2-r0
	运行在以下环境
	系统	alpine_3.15	ffmpeg	*		Up to (excluding) 4.2-r0
	运行在以下环境
	系统	alpine_3.16	ffmpeg	*		Up to (excluding) 4.2-r0
	运行在以下环境
	系统	alpine_3.17	ffmpeg	*		Up to (excluding) 4.2-r0
	运行在以下环境
	系统	alpine_3.18	ffmpeg	*		Up to (excluding) 4.2-r0
	运行在以下环境
	系统	alpine_3.19	ffmpeg	*		Up to (excluding) 4.2-r0
	运行在以下环境
	系统	alpine_3.9	ffmpeg	*		Up to (excluding) 4.0.6-r0
	运行在以下环境
	系统	debian_10	ffmpeg	*		Up to (excluding) 4.1.6-1~deb10u1
	运行在以下环境
	系统	debian_11	ffmpeg	*		Up to (excluding) 4.2.1-1
	运行在以下环境
	系统	debian_12	ffmpeg	*		Up to (excluding) 4.2.1-1
	运行在以下环境
	系统	opensuse_Leap_15.3	ffmpeg	*		Up to (excluding) 3.4.2-11.3.1
	运行在以下环境
	系统	ubuntu_18.04	ffmpeg	*		Up to (excluding) 3.4.8-0ubuntu0.2

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-476	空指针解引用