ГлавнаяБаза уязвимостей БДУ → BDU:2024-06374
10критическая

BDU:2024-06374

Уязвимость функции fill_audiodata файла /libswresample/swresample.c мультимедийной библиотеки FFmpeg, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-08-21
Описание

Уязвимость функции fill_audiodata файла /libswresample/swresample.c мультимедийной библиотеки FFmpeg связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)FFmpeg (до 5.1.6)Astra Linux Special Edition (1.8)ОС Аврора (до 5.1.4 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников.
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости.

Использование рекомендаций производителя:
https://ffmpeg.org/

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Astra Linux:
обновить пакет ffmpeg до 7:5.1.6-0+deb12u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС Astra Linux:
обновить пакет ffmpeg5 до 7:5.1.3-1astra11+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Аврора: https://cve.omp.ru/bb27514

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/CookedMelon/ReportCVE/tree/main/FFmpeg/poc5https://github.com/CookedMelon/ReportCVE/tree/main/FFmpeg/poc6https://ffmpeg.orghttps://vuldb.com/?id.273945https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17https://cve.omp.ru/bb27514
Проверьте безопасность своего сайта и почты → Полная проверка домена