阿里云漏洞库

低危 FFmpeg 4.1 Subtitle Decoder htmlsubtitles.c handle_open_brace Video File 拒绝服务漏洞

CVE编号

CVE-2019-9721

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-03-12

漏洞描述

FFmpeg 4.1中字幕解码器中的拒绝服务允许攻击者通过Matroska格式的精心制作的视频文件来占用CPU，因为libavcodec / htmlsubtitles.c中的handle_open_brace具有sscanf的复杂格式参数。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://www.securityfocus.com/bid/107384
https://git.ffmpeg.org/gitweb/ffmpeg.git/commit/894995c41e0795c7a44f81adc4838...
https://github.com/FFmpeg/FFmpeg/commit/273f2755ce8635d42da3cde0eeba15b2e7842774
https://usn.ubuntu.com/3967-1/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ffmpeg	ffmpeg	4.1	-
	运行在以下环境
	系统	alpine_3.10	ffmpeg	*		Up to (excluding) 4.1.3-r0
	运行在以下环境
	系统	alpine_3.11	ffmpeg	*		Up to (excluding) 4.1.3-r0
	运行在以下环境
	系统	alpine_3.12	ffmpeg	*		Up to (excluding) 4.1.3-r0
	运行在以下环境
	系统	alpine_3.13	ffmpeg	*		Up to (excluding) 4.1.3-r0
	运行在以下环境
	系统	alpine_3.14	ffmpeg	*		Up to (excluding) 4.1.3-r0
	运行在以下环境
	系统	alpine_3.15	ffmpeg	*		Up to (excluding) 4.1.3-r0
	运行在以下环境
	系统	alpine_3.16	ffmpeg	*		Up to (excluding) 4.1.3-r0
	运行在以下环境
	系统	alpine_3.8	ffmpeg	*		Up to (excluding) 3.4.6-r0
	运行在以下环境
	系统	alpine_3.9	ffmpeg	*		Up to (excluding) 4.0.4-r0
	运行在以下环境
	系统	alpine_edge	ffmpeg	*		Up to (excluding) 4.1.3-r0
	运行在以下环境
	系统	opensuse_Leap_15.3	ffmpeg	*		Up to (excluding) 3.4.2-11.8.2
	运行在以下环境
	系统	ubuntu_18.04	ffmpeg	*		Up to (excluding) 7:3.4.6-0ubuntu0.18.04.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	ffmpeg	*		Up to (excluding) 7:3.4.6-0ubuntu0.18.04.1
	运行在以下环境
	系统	ubuntu_18.10	ffmpeg	*		Up to (excluding) 7:4.0.4-0ubuntu1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-125	跨界内存读