マルチメディア変換・配信ソフト FFMpegに脆弱性 CVE-2014-9316


オープンソースでありながら高機能なマルチメディア変換・配信ソフトウェアとして広く利用されているffmpegのDoS攻撃に対する脆弱性が指摘されました。(9,10 Dec. 2014)

米国NVD(National Vulnerability Database) CVE-2014-9316へのリンク

FFMpegコミュニティサイトの脆弱性対応情報

CVEの評価によれば、以下のCVSS Vers.2の数値が示すように、簡単に利用が可能で、危険度が高い脆弱性です。FFMpegをネットワーク利用(ffserver等)している場合、すみやかにバージョンアップにて対応することが望まれます。

概要

以下の世代のFFMpegに含まれるMJPEGフォーマットの処理にかかわる libavcodec/mjpegdec.cの中で定義されている関数 mjpeg_decode_appにMJPEGファイルを処理する際に、LJIFタグに関連した処理にDoS攻撃(heapをあふれさせる攻撃。それ以外のインパクトの可能性もあり)を受ける可能性のある脆弱性があります。

  • 2.1.6以前
  • 2.2.x~2.3.x
  • 2.4.4を含むそれ以前の2.4.x

CVSS v2評価

 ベーススコア:7.5(危険度高)
利用容易度:10 (簡単
アクセス形態:ネットワーク経由
アクセスの複雑度:単純
認証の必要:なし