34054 – ffmpeg new security issues CVE-2025-0518, CVE-2025-22919, CVE-2025-2292[01] and CVE-2025-25473

Bug 34054 - ffmpeg new security issues CVE-2025-0518, CVE-2025-22919, CVE-2025-2292[01] and CVE-2025-25473

Summary: ffmpeg new security issues CVE-2025-0518, CVE-2025-22919, CVE-2025-2292[01] a...

Status:	RESOLVED FIXED

Alias:	None

Product:	Mageia
Classification:	Unclassified
Component:	Security (show other bugs)
Version:	9
Hardware:	All Linux

Priority:	Normal Severity: normal
Target Milestone:	---
Assignee:	QA Team
QA Contact:	Sec team

URL:
Whiteboard:	MGA9-64-OK
Keywords:	advisory, validated_update

Depends on:
Blocks:

Reported:	2025-02-27 16:23 CET by Nicolas Salguero
Modified:	2025-03-02 08:19 CET (History)
CC List:	3 users (show)

See Also:
Source RPM:	ffmpeg-5.1.6-1.2.mga9.src.rpm
CVE:	CVE-2025-0518, CVE-2025-22919, CVE-2025-22920, CVE-2025-22921, CVE-2025-25473
Status comment:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Description Nicolas Salguero 2025-02-27 16:23:47 CET

openSUSE has issued an advisory on February 26:
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/G5BFJ3U3RQS5BEVWWNUO24FHCSLCALHX/

Comment 1 Nicolas Salguero 2025-02-27 16:26:33 CET

Upstream fixes:
  - CVE-2025-0518: https://github.com/FFmpeg/FFmpeg/commit/b5b6391d64807578ab872dc58fb8aa621dcfc38a
  - CVE-2025-22919: https://git.ffmpeg.org/gitweb/ffmpeg.git/commit/1446e37d3d032e1452844778b3e6ba2c20f0c322
  - CVE-2025-22920: https://git.ffmpeg.org/gitweb/ffmpeg.git/commit/4bf784c0e5615c3f934e677d5de093a8be7da7ae
  - CVE-2025-22921: https://git.ffmpeg.org/gitweb/ffmpeg.git/commit/7f9c7f9849a2155224711f0ff57ecdac6e4bfb57q
  - CVE-2025-25473: https://git.ffmpeg.org/gitweb/ffmpeg.git/commitdiff/c08d300481b8ebb846cd43a473988fdbc6793d1b

Source RPM: (none) => ffmpeg-7.1-7.mga10.src.rpm, ffmpeg-5.1.6-1.2.mga9.src.rpm
CVE: (none) => CVE-2025-0518, CVE-2025-22919, CVE-2025-22920, CVE-2025-22921, CVE-2025-25473
Whiteboard: (none) => MGA9TOO
Status comment: (none) => Patches available from upstream and openSUSE

Nicolas Salguero 2025-02-27 17:19:30 CET

Assignee: bugsquad => nicolas.salguero

Comment 2 Nicolas Salguero 2025-02-28 09:03:05 CET

Suggested advisory:
========================

The updated packages fix security vulnerabilities:

Unchecked sscanf return value which leads to memory data leak. (CVE-2025-0518)

A reachable assertion in FFmpeg git-master commit N-113007-g8d24a28d06 allows attackers to cause a Denial of Service (DoS) via opening a crafted AAC file. (CVE-2025-22919)

A heap buffer overflow vulnerability in FFmpeg before commit 4bf784c allows attackers to trigger a memory corruption via supplying a crafted media file in avformat when processing tile grid group streams. This can lead to a Denial of Service (DoS). (CVE-2025-22920)

FFmpeg git-master,N-113007-g8d24a28d06 was discovered to contain a segmentation violation via the component /libavcodec/jpeg2000dec.c. (CVE-2025-22921)

FFmpeg git master before commit c08d30 was discovered to contain a NULL pointer dereference via the component libavformat/mov.c. (CVE-2025-25473)

References:
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/G5BFJ3U3RQS5BEVWWNUO24FHCSLCALHX/
========================

Updated packages in core/updates_testing:
========================
ffmpeg-5.1.6-1.3.mga9
lib(64)avcodec59-5.1.6-1.3.mga9
lib(64)avfilter8-5.1.6-1.3.mga9
lib(64)avformat59-5.1.6-1.3.mga9
lib(64)avutil57-5.1.6-1.3.mga9
lib(64)ffmpeg-devel-5.1.6-1.3.mga9
lib(64)ffmpeg-static-devel-5.1.6-1.3.mga9
lib(64)postproc56-5.1.6-1.3.mga9
lib(64)swresample4-5.1.6-1.3.mga9
lib(64)swscaler6-5.1.6-1.3.mga9

from SRPM:
ffmpeg-5.1.6-1.3.mga9.src.rpm

Updated packages in tainted/updates_testing:
========================
ffmpeg-5.1.6-1.3.mga9.tainted
lib(64)avcodec59-5.1.6-1.3.mga9.tainted
lib(64)avfilter8-5.1.6-1.3.mga9.tainted
lib(64)avformat59-5.1.6-1.3.mga9.tainted
lib(64)avutil57-5.1.6-1.3.mga9.tainted
lib(64)ffmpeg-devel-5.1.6-1.3.mga9.tainted
lib(64)ffmpeg-static-devel-5.1.6-1.3.mga9.tainted
lib(64)postproc56-5.1.6-1.3.mga9.tainted
lib(64)swresample4-5.1.6-1.3.mga9.tainted
lib(64)swscaler6-5.1.6-1.3.mga9.tainted

from SRPM:
ffmpeg-5.1.6-1.3.mga9.tainted.src.rpm

Assignee: nicolas.salguero => qa-bugs
Status comment: Patches available from upstream and openSUSE => (none)
Status: NEW => ASSIGNED
Whiteboard: MGA9TOO => (none)
Source RPM: ffmpeg-7.1-7.mga10.src.rpm, ffmpeg-5.1.6-1.2.mga9.src.rpm => ffmpeg-5.1.6-1.2.mga9.src.rpm
Version: Cauldron => 9

Comment 3 Herman Viaene 2025-02-28 17:10:01 CET

MGA9-64 Plasma Wayland on Compaq H000SB
Installed first core  versions, used ffplay to play mp4, mpg and avi videos, all OK.
Returning for tainted.

CC: (none) => herman.viaene

Comment 4 Herman Viaene 2025-02-28 17:34:23 CET

Same good results with tainted versions, so good to go.

Whiteboard: (none) => MGA9-64-OK

Comment 5 katnatek 2025-02-28 17:59:37 CET

RH x86_64

core packages

installing lib64avcodec59-5.1.6-1.3.mga9.x86_64.rpm lib64swresample4-5.1.6-1.3.mga9.x86_64.rpm lib64avutil57-5.1.6-1.3.mga9.x86_64.rpm lib64swscaler6-5.1.6-1.3.mga9.x86_64.rpm lib64avformat59-5.1.6-1.3.mga9.x86_64.rpm lib64avfilter8-5.1.6-1.3.mga9.x86_64.rpm lib64postproc56-5.1.6-1.3.mga9.x86_64.rpm ffmpeg-5.1.6-1.3.mga9.x86_64.rpm from //home/katnatek/qa-testing/x86_64
Preparing...                     ##################################################################################################
      1/8: lib64avutil57         ##################################################################################################
      2/8: lib64swresample4      ##################################################################################################
      3/8: lib64avcodec59        ##################################################################################################
      4/8: lib64swscaler6        ##################################################################################################
      5/8: lib64postproc56       ##################################################################################################
      6/8: lib64avformat59       ##################################################################################################
      7/8: lib64avfilter8        ##################################################################################################
      8/8: ffmpeg                ##################################################################################################
      1/8: removing ffmpeg-5.1.6-1.2.mga9.tainted.x86_64
                                 ##################################################################################################
      2/8: removing lib64avformat59-5.1.6-1.2.mga9.tainted.x86_64
                                 ##################################################################################################
      3/8: removing lib64avfilter8-5.1.6-1.2.mga9.tainted.x86_64
                                 ##################################################################################################
      4/8: removing lib64avcodec59-5.1.6-1.2.mga9.tainted.x86_64
                                 ##################################################################################################
      5/8: removing lib64swresample4-5.1.6-1.2.mga9.tainted.x86_64
                                 ##################################################################################################
      6/8: removing lib64postproc56-5.1.6-1.2.mga9.tainted.x86_64
                                 ##################################################################################################
      7/8: removing lib64swscaler6-5.1.6-1.2.mga9.tainted.x86_64
                                 ##################################################################################################
      8/8: removing lib64avutil57-5.1.6-1.2.mga9.tainted.x86_64
                                 ##################################################################################################

Play audio and video with ffplay OK

Comment 6 katnatek 2025-02-28 18:04:58 CET

RH x86_64

installing lib64postproc56-5.1.6-1.3.mga9.tainted.x86_64.rpm ffmpeg-5.1.6-1.3.mga9.tainted.x86_64.rpm lib64avfilter8-5.1.6-1.3.mga9.tainted.x86_64.rpm lib64avformat59-5.1.6-1.3.mga9.tainted.x86_64.rpm lib64swresample4-5.1.6-1.3.mga9.tainted.x86_64.rpm lib64swscaler6-5.1.6-1.3.mga9.tainted.x86_64.rpm lib64avutil57-5.1.6-1.3.mga9.tainted.x86_64.rpm lib64avcodec59-5.1.6-1.3.mga9.tainted.x86_64.rpm from //home/katnatek/qa-testing/x86_64
Preparing...                     ##################################################################################################
      1/8: lib64avutil57         ##################################################################################################
      2/8: lib64swresample4      ##################################################################################################
      3/8: lib64avcodec59        ##################################################################################################
      4/8: lib64postproc56       ##################################################################################################
      5/8: lib64swscaler6        ##################################################################################################
      6/8: lib64avformat59       ##################################################################################################
      7/8: lib64avfilter8        ##################################################################################################
      8/8: ffmpeg                ##################################################################################################
      1/8: removing ffmpeg-5.1.6-1.3.mga9.x86_64
                                 ##################################################################################################
      2/8: removing lib64avfilter8-5.1.6-1.3.mga9.x86_64
                                 ##################################################################################################
      3/8: removing lib64avformat59-5.1.6-1.3.mga9.x86_64
                                 ##################################################################################################
      4/8: removing lib64avcodec59-5.1.6-1.3.mga9.x86_64
                                 ##################################################################################################
      5/8: removing lib64swresample4-5.1.6-1.3.mga9.x86_64
                                 ##################################################################################################
      6/8: removing lib64postproc56-5.1.6-1.3.mga9.x86_64
                                 ##################################################################################################
      7/8: removing lib64swscaler6-5.1.6-1.3.mga9.x86_64
                                 ##################################################################################################
      8/8: removing lib64avutil57-5.1.6-1.3.mga9.x86_64
                                 ##################################################################################################

Play audio and video with ffplay OK

katnatek 2025-02-28 18:28:27 CET

Keywords: (none) => advisory

Comment 7 katnatek 2025-03-01 00:24:11 CET

RH i586

Core packages

installing libpostproc56-5.1.6-1.3.mga9.i586.rpm libswresample4-5.1.6-1.3.mga9.i586.rpm libavfilter8-5.1.6-1.3.mga9.i586.rpm ffmpeg-5.1.6-1.3.mga9.i586.rpm libswscaler6-5.1.6-1.3.mga9.i586.rpm libavutil57-5.1.6-1.3.mga9.i586.rpm libavformat59-5.1.6-1.3.mga9.i586.rpm libavcodec59-5.1.6-1.3.mga9.i586.rpm from //home/katnatek/qa-testing/i586
Preparing...                     #######################################################################################
      1/8: libavutil57           #######################################################################################
      2/8: libswresample4        #######################################################################################
      3/8: libavcodec59          #######################################################################################
      4/8: libpostproc56         #######################################################################################
      5/8: libswscaler6          #######################################################################################
      6/8: libavformat59         #######################################################################################
      7/8: libavfilter8          #######################################################################################
      8/8: ffmpeg                #######################################################################################
      1/8: removing ffmpeg-5.1.6-1.2.mga9.tainted.i586
                                 #######################################################################################
      2/8: removing libavformat59-5.1.6-1.2.mga9.tainted.i586
                                 #######################################################################################
      3/8: removing libavfilter8-5.1.6-1.2.mga9.tainted.i586
                                 #######################################################################################
      4/8: removing libavcodec59-5.1.6-1.2.mga9.tainted.i586
                                 #######################################################################################
      5/8: removing libswresample4-5.1.6-1.2.mga9.tainted.i586
                                 #######################################################################################
      6/8: removing libpostproc56-5.1.6-1.2.mga9.tainted.i586
                                 #######################################################################################
      7/8: removing libswscaler6-5.1.6-1.2.mga9.tainted.i586
                                 #######################################################################################
      8/8: removing libavutil57-5.1.6-1.2.mga9.tainted.i586
                                 #######################################################################################

Play audio and video with ffplay OK

Comment 8 katnatek 2025-03-01 00:32:47 CET

RH i586

tainted packages

installing libswresample4-5.1.6-1.3.mga9.tainted.i586.rpm ffmpeg-5.1.6-1.3.mga9.tainted.i586.rpm libavutil57-5.1.6-1.3.mga9.tainted.i586.rpm libavcodec59-5.1.6-1.3.mga9.tainted.i586.rpm libswscaler6-5.1.6-1.3.mga9.tainted.i586.rpm libavformat59-5.1.6-1.3.mga9.tainted.i586.rpm libavfilter8-5.1.6-1.3.mga9.tainted.i586.rpm libpostproc56-5.1.6-1.3.mga9.tainted.i586.rpm from //home/katnatek/qa-testing/i586
Preparing...                     #######################################################################################
      1/8: libavutil57           #######################################################################################
      2/8: libswresample4        #######################################################################################
      3/8: libavcodec59          #######################################################################################
      4/8: libswscaler6          #######################################################################################
      5/8: libpostproc56         #######################################################################################
      6/8: libavformat59         #######################################################################################
      7/8: libavfilter8          #######################################################################################
      8/8: ffmpeg                #######################################################################################
      1/8: removing ffmpeg-5.1.6-1.3.mga9.i586
                                 #######################################################################################
      2/8: removing libavformat59-5.1.6-1.3.mga9.i586
                                 #######################################################################################
      3/8: removing libavfilter8-5.1.6-1.3.mga9.i586
                                 #######################################################################################
      4/8: removing libavcodec59-5.1.6-1.3.mga9.i586
                                 #######################################################################################
      5/8: removing libswresample4-5.1.6-1.3.mga9.i586
                                 #######################################################################################
      6/8: removing libpostproc56-5.1.6-1.3.mga9.i586
                                 #######################################################################################
      7/8: removing libswscaler6-5.1.6-1.3.mga9.i586
                                 #######################################################################################
      8/8: removing libavutil57-5.1.6-1.3.mga9.i586
                                 #######################################################################################

Play audio and video with ffplay OK

Comment 9 Thomas Andrews 2025-03-01 17:06:42 CET

Validating.

CC: (none) => andrewsfarm, sysadmin-bugs
Keywords: (none) => validated_update

Comment 10 Mageia Robot 2025-03-02 08:19:33 CET

An update for this issue has been pushed to the Mageia Updates repository.

https://advisories.mageia.org/MGASA-2025-0085.html

Status: ASSIGNED => RESOLVED
Resolution: (none) => FIXED

Note You need to log in before you can comment on or make changes to this bug.