Bug 33338

Suggested advisory:
========================

The updated packages fix security vulnerabilities:

Buffer Overflow vulnerability in Ffmpeg v.n6.1-3-g466799d4f5 allows a local attacker to execute arbitrary code via the set_encoder_id function in /fftools/ffmpeg_enc.c component. (CVE-2023-50010)

Buffer Overflow vulnerability in Ffmpeg v.N113007-g8d24a28d06 allows a local attacker to execute arbitrary code via the libavutil/imgutils.c:353:9 in image_copy_plane. (CVE-2023-51793)

Buffer Overflow vulnerability in Ffmpeg v.N113007-g8d24a28d06 allows a local attacker to execute arbitrary code via the libavfilter/af_stereowiden.c:120:69. (CVE-2023-51794)

Buffer Overflow vulnerability in Ffmpeg v.N113007-g8d24a28d06 allows a local attacker to execute arbitrary code via the libavfilter/avf_showspectrum.c:1789:52 component in showspectrumpic_request_frame. (CVE-2023-51795)

Buffer Overflow vulnerability in Ffmpeg v.N113007-g8d24a28d06 allows a local attacker to execute arbitrary code via a floating point exception (FPE) error at libavfilter/vf_minterpolate.c:1078:60 in interpolate. (CVE-2023-51798)

FFmpeg version n5.1 to n6.1 was discovered to contain an Off-by-one Error vulnerability in libavfilter/avf_showspectrum.c. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input. (CVE-2024-31585)

References:
https://lists.debian.org/debian-security-announce/2024/msg00122.html
========================

Updated packages in core/updates_testing:
========================
ffmpeg-5.1.5-1.mga9
lib(64)avcodec59-5.1.5-1.mga9
lib(64)avfilter8-5.1.5-1.mga9
lib(64)avformat59-5.1.5-1.mga9
lib(64)avutil57-5.1.5-1.mga9
lib(64)ffmpeg-devel-5.1.5-1.mga9
lib(64)ffmpeg-static-devel-5.1.5-1.mga9
lib(64)postproc56-5.1.5-1.mga9
lib(64)swresample4-5.1.5-1.mga9
lib(64)swscaler6-5.1.5-1.mga9

from SRPM:
ffmpeg-5.1.5-1.mga9.src.rpm

Updated packages in tainted/updates_testing:
========================
ffmpeg-5.1.5-1.mga9.tainted
lib(64)avcodec59-5.1.5-1.mga9.tainted
lib(64)avfilter8-5.1.5-1.mga9.tainted
lib(64)avformat59-5.1.5-1.mga9.tainted
lib(64)avutil57-5.1.5-1.mga9.tainted
lib(64)ffmpeg-devel-5.1.5-1.mga9.tainted
lib(64)ffmpeg-static-devel-5.1.5-1.mga9.tainted
lib(64)postproc56-5.1.5-1.mga9.tainted
lib(64)swresample4-5.1.5-1.mga9.tainted
lib(64)swscaler6-5.1.5-1.mga9.tainted

from SRPM:
ffmpeg-5.1.5-1.mga9.tainted.src.rpm

Whiteboard: MGA9TOO => (none)
Status: NEW => ASSIGNED
Version: Cauldron => 9
Assignee: nicolas.salguero => qa-bugs

MGA9-64 Plasma Wayland on HP-Pavillion.
Installation first on core updates. Used ffmulticonverter to convert mp4 to mpg and avi to ogg. Resulting files play OK with vlc.
Coming back later to test tainted versions

CC: (none) => herman.viaene

Installed and tested without issues.

Testing the tainted version.

Tests:
- remuxing existing videos;
- desktop plus audio capture;
- converting video/audio files, mainly using codecs OPUS, H264, H265 or AV1;
- getting media file information;
- creating thumbnails for video files;
- ffmulticonverter (following Herman Viaene test, normally do not use it ).

These, except the last, test the normal usage I get from ffmpeg.

All OK.



System: Mageia 9, x86_64, Plasma DE, LXQt DE, AMD Ryzen 5 5600G with Radeon Graphics using amdgpu driver.



$ uname -a
Linux jupiter 6.6.28-desktop-1.mga9 #1 SMP PREEMPT_DYNAMIC Wed Apr 17 17:19:36 UTC 2024 x86_64 GNU/Linux
$ rpm -qa | grep 5.1.5-1
lib64avutil57-5.1.5-1.mga9.tainted
lib64swresample4-5.1.5-1.mga9.tainted
lib64avcodec59-5.1.5-1.mga9.tainted
lib64swscaler6-5.1.5-1.mga9.tainted
lib64postproc56-5.1.5-1.mga9.tainted
lib64avfilter8-5.1.5-1.mga9.tainted
lib64avformat59-5.1.5-1.mga9.tainted
ffmpeg-5.1.5-1.mga9.tainted

CC: (none) => mageia

RH mageia 9 i586

update core

installing libavcodec59-5.1.5-1.mga9.i586.rpm ffmpeg-5.1.5-1.mga9.i586.rpm libavutil57-5.1.5-1.mga9.i586.rpm libpostproc56-5.1.5-1.mga9.i586.rpm libswresample4-5.1.5-1.mga9.i586.rpm libswscaler6-5.1.5-1.mga9.i586.rpm libavfilter8-5.1.5-1.mga9.i586.rpm libavformat59-5.1.5-1.mga9.i586.rpm from /home/katnatek/qa-testing/i586
Preparing...                     ################################################################
      1/8: libavutil57           ################################################################
      2/8: libswresample4        ################################################################
      3/8: libavcodec59          ################################################################
      4/8: libpostproc56         ################################################################
      5/8: libswscaler6          ################################################################
      6/8: libavfilter8          ################################################################
      7/8: libavformat59         ################################################################
      8/8: ffmpeg                ################################################################
      1/8: removing ffmpeg-5.1.4-1.mga9.tainted.i586
                                 ################################################################
      2/8: removing libavfilter8-5.1.4-1.mga9.tainted.i586
                                 ################################################################
      3/8: removing libavformat59-5.1.4-1.mga9.tainted.i586
                                 ################################################################
      4/8: removing libavcodec59-5.1.4-1.mga9.tainted.i586
                                 ################################################################
      5/8: removing libswresample4-5.1.4-1.mga9.tainted.i586
                                 ################################################################
      6/8: removing libpostproc56-5.1.4-1.mga9.tainted.i586
                                 ################################################################
      7/8: removing libswscaler6-5.1.4-1.mga9.tainted.i586
                                 ################################################################
      8/8: removing libavutil57-5.1.4-1.mga9.tainted.i586
                                 ################################################################

Play some videos with ffplay
OK

RH mageia 9 i586

update tainted packages

installing libswscaler6-5.1.5-1.mga9.tainted.i586.rpm libavfilter8-5.1.5-1.mga9.tainted.i586.rpm libpostproc56-5.1.5-1.mga9.tainted.i586.rpm libavformat59-5.1.5-1.mga9.tainted.i586.rpm libavcodec59-5.1.5-1.mga9.tainted.i586.rpm libswresample4-5.1.5-1.mga9.tainted.i586.rpm ffmpeg-5.1.5-1.mga9.tainted.i586.rpm libavutil57-5.1.5-1.mga9.tainted.i586.rpm from /home/katnatek/qa-testing/i586
Preparing...                     ################################################################
      1/8: libavutil57           ################################################################
      2/8: libswresample4        ################################################################
      3/8: libavcodec59          ################################################################
      4/8: libswscaler6          ################################################################
      5/8: libpostproc56         ################################################################
      6/8: libavformat59         ################################################################
      7/8: libavfilter8          ################################################################
      8/8: ffmpeg                ################################################################
      1/8: removing ffmpeg-5.1.5-1.mga9.i586
                                 ################################################################
      2/8: removing libavfilter8-5.1.5-1.mga9.i586
                                 ################################################################
      3/8: removing libavformat59-5.1.5-1.mga9.i586
                                 ################################################################
      4/8: removing libavcodec59-5.1.5-1.mga9.i586
                                 ################################################################
      5/8: removing libswresample4-5.1.5-1.mga9.i586
                                 ################################################################
      6/8: removing libpostproc56-5.1.5-1.mga9.i586
                                 ################################################################
      7/8: removing libswscaler6-5.1.5-1.mga9.i586
                                 ################################################################
      8/8: removing libavutil57-5.1.5-1.mga9.i586
                                 ################################################################

play videos with ffplay
works OK

Thank you, everyone! OKing both arches, and validating.

Whiteboard: (none) => MGA9-32-OK MGA9-64-OK
CC: (none) => andrewsfarm, sysadmin-bugs
Keywords: (none) => validated_update

An update for this issue has been pushed to the Mageia Updates repository.

https://advisories.mageia.org/MGASA-2024-0248.html

Resolution: (none) => FIXED
Status: ASSIGNED => RESOLVED