FFmpegのLZO実装コードに脆弱性、20年前から存在 20
ストーリー by hylom
20年間熟成された秘伝の脆弱性 部門より
20年間熟成された秘伝の脆弱性 部門より
6月29日にリリースされたFFmpeg v2.2.4/2.1.5/2.0.5/1.2.7/1.1.12/0.10.14では、20年前から存在していた脆弱性が修正されているという(窓の杜)。
The Mouse Trapによると、これはLZO圧縮アルゴリズムを実装した部分に存在しており、特定の状況でバッファオーバーフローが引き起こされるという。LZO圧縮アルゴリズムは1994年にMarkus Oberhumer氏によって開発され、オープンソースの実装が存在している。今回発見された脆弱性はこのオープンソース実装に含まれていたとのことで、おなじ実装を使っているほかのソフトウェアでも同様の問題が発生する可能性があるという。
なんで反応薄いの? (スコア:3)
M$(笑)製品にセキュリティホールが見つかった時は鬼の首でも取ったかのように大騒ぎする癖に
Re:なんで反応薄いの? (スコア:2)
LZOを使う環境が少ないし、パッと見た感じ、自殺する程度だからとか。
Re:なんで反応薄いの? (スコア:2)
x LZOを使う環境が少ない
o 影響する範囲が狭い
Re:なんで反応薄いの? (スコア:1)
OpenVPNはコンパイルオプションによってはLZOを使う。
セッションジャックできなくてもDoSくらいはできそう。
Re: (スコア:0)
そりゃMS嫌いだからだろ。それ以外に理由あんの?
Re: (スコア:0)
不思議ですよね。
オプソの時は問題見つかった奴”だけ”に限定して、MSのときは全てに範囲を広げる。
少なくと今回はLZOつかってる奴すべて疑うなぁ。
Re:なんで反応薄いの? (スコア:1)
FFmpeg はその一例では?
多数の形式に対応したアーカイバソフトなどはもちろん
SquashFS なんかも、オプションで選択可能ですね
邪推すると FFmpeg を矢面に立たせることで、ミスリード(どんな?)を狙ってるってことも。
Re: (スコア:0)
>邪推すると FFmpeg を矢面に立たせることで、ミスリード(どんな?)を狙ってるってことも。
きっとLibav派の陰謀に違いない。
騒ぎにならないのは、普通のユーザは気づかないからだろうな。
FFmpegを使っているメディアプレイヤーとかエンコーダは色々あるけど、
ソフト自体にFFmpegの名前を使ってないからぱっと見判らない。
SUPER © とかMediaCoder で使ってるっていえば判るんでしょうけど。
linux のカーネルでも修正が入っています (スコア:3)
linuxのカーネルにも同じ問題があって,6月末に CVE-2014-4608 が出ています.
既に linux-3.15.2 で修正が入っています
実害としては OpenVPNなどで影響がでるそうです.
Linuxベースのルータ等,影響範囲は意外と広いかも知れません
Re:linux のカーネルでも修正が入っています (スコア:1)
http://www.openvpn.jp/2014/06/30/951/ [openvpn.jp]
FFmpeg の場合 (スコア:1)
怪しげなフロントエンドを使うなって感じなんですかね
Re:FFmpeg の場合 (スコア:1)
その怪しげなフロントエンド自身が直接どうこうした方が早い気が…
オンラインで動画を変換するようなサービスは、悪意のある動画を指定されることで攻撃を受ける(かも)、って感じでしょうか?
オープンソースの安全神話() (スコア:0)
沢山の目玉が云々
それらの目玉は全て節穴?そもそもそんな目玉なんか無かったよね
幻想だよ
Re:オープンソースの安全神話() (スコア:1)
目玉があったから脆弱性が発見されたんだろ
Re: (スコア:0)
バグ、脆弱性は見つからない限り存在しないのです!
Re: (スコア:0)
ということにしたいのですね?
Re: (スコア:0)
そうですよ。
Re: (スコア:0)
本家 (スコア:0)
lzo本家 [oberhumer.com]
2.07でCVE-2014-4607の対策が入って、その後2.08で小さな修正が入った…でおk?