Bug 34066 - ffmpeg new security issue CVE-2024-35368
Summary: ffmpeg new security issue CVE-2024-35368
Status: RESOLVED FIXED
Alias: None
Product: Mageia
Classification: Unclassified
Component: Security (show other bugs)
Version: 9
Hardware: All Linux
Priority: Normal normal
Target Milestone: ---
Assignee: QA Team
QA Contact: Sec team
URL:
Whiteboard: MGA9-64-OK
Keywords: advisory, validated_update
Depends on:
Blocks:
 
Reported: 2025-03-05 10:24 CET by Nicolas Salguero
Modified: 2025-03-06 18:57 CET (History)
4 users (show)

See Also:
Source RPM: ffmpeg-5.1.6-1.3.mga9.src.rpm
CVE: CVE-2024-35368
Status comment:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Description Nicolas Salguero 2025-03-05 10:24:37 CET 
openSUSE has issued an advisory on March 3:
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/ZB33CK26BY2QPYGREWH7HHWHPSLGY4DI/
Nicolas Salguero 2025-03-05 10:25:04 CET

Source RPM: (none) => ffmpeg-5.1.6-1.3.mga9.src.rpm
CVE: (none) => CVE-2024-35368

Comment 1 Nicolas Salguero 2025-03-05 16:51:01 CET 
Suggested advisory:
========================

The updated packages fix a security vulnerability:

FFmpeg n7.0 is affected by a Double Free via the rkmpp_retrieve_frame function within libavcodec/rkmppdec.c. (CVE-2024-35368)

References:
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/ZB33CK26BY2QPYGREWH7HHWHPSLGY4DI/
========================

Updated packages in core/updates_testing:
========================
ffmpeg-5.1.6-1.4.mga9
lib(64)avcodec59-5.1.6-1.4.mga9
lib(64)avfilter8-5.1.6-1.4.mga9
lib(64)avformat59-5.1.6-1.4.mga9
lib(64)avutil57-5.1.6-1.4.mga9
lib(64)ffmpeg-devel-5.1.6-1.4.mga9
lib(64)ffmpeg-static-devel-5.1.6-1.4.mga9
lib(64)postproc56-5.1.6-1.4.mga9
lib(64)swresample4-5.1.6-1.4.mga9
lib(64)swscaler6-5.1.6-1.4.mga9

from SRPM:
ffmpeg-5.1.6-1.4.mga9.src.rpm

Updated packages in tainted/updates_testing:
========================
ffmpeg-5.1.6-1.4.mga9.tainted
lib(64)avcodec59-5.1.6-1.4.mga9.tainted
lib(64)avfilter8-5.1.6-1.4.mga9.tainted
lib(64)avformat59-5.1.6-1.4.mga9.tainted
lib(64)avutil57-5.1.6-1.4.mga9.tainted
lib(64)ffmpeg-devel-5.1.6-1.4.mga9.tainted
lib(64)ffmpeg-static-devel-5.1.6-1.4.mga9.tainted
lib(64)postproc56-5.1.6-1.4.mga9.tainted
lib(64)swresample4-5.1.6-1.4.mga9.tainted
lib(64)swscaler6-5.1.6-1.4.mga9.tainted

from SRPM:
ffmpeg-5.1.6-1.4.mga9.tainted.src.rpm

Status: NEW => ASSIGNED
Assignee: bugsquad => qa-bugs

PC LX 2025-03-05 18:04:30 CET

CC: (none) => mageia

Comment 2 PC LX 2025-03-06 00:12:12 CET 
Installed and tested tainted version without issues.

Tested:
- X11 desktop capture;
- V4L2 USB camera video/audio capture;
- ALSA and Pulseaudio audio capture;
- converting video/audio files to/from various codecs (e.g. AV1, VP9, x265, x264, Opus, MP3, OGG, AAC);
- remuxing video/audio files to mkv, and mp4.
- downloading file from m3u8 URL.
All OK.



System: Mageia 9, x86_64, Plasma DE, AMD Ryzen 5 5600G with Radeon Graphics using amdgpu driver.



$ uname -a
Linux jupiter 6.6.79-desktop-1.mga9 #1 SMP PREEMPT_DYNAMIC Fri Feb 21 17:45:39 UTC 2025 x86_64 GNU/Linux
$ rpm -qa | grep '5.1.6-1.4' | sort
ffmpeg-5.1.6-1.4.mga9.tainted
lib64avcodec59-5.1.6-1.4.mga9.tainted
lib64avfilter8-5.1.6-1.4.mga9.tainted
lib64avformat59-5.1.6-1.4.mga9.tainted
lib64avutil57-5.1.6-1.4.mga9.tainted
lib64postproc56-5.1.6-1.4.mga9.tainted
lib64swresample4-5.1.6-1.4.mga9.tainted
lib64swscaler6-5.1.6-1.4.mga9.tainted
katnatek 2025-03-06 01:58:18 CET

Keywords: (none) => advisory

Comment 3 katnatek 2025-03-06 02:38:44 CET 
RH x86_64

core packages

installing lib64avfilter8-5.1.6-1.4.mga9.x86_64.rpm lib64avcodec59-5.1.6-1.4.mga9.x86_64.rpm lib64swresample4-5.1.6-1.4.mga9.x86_64.rpm ffmpeg-5.1.6-1.4.mga9.x86_64.rpm lib64swscaler6-5.1.6-1.4.mga9.x86_64.rpm lib64postproc56-5.1.6-1.4.mga9.x86_64.rpm lib64avutil57-5.1.6-1.4.mga9.x86_64.rpm lib64avformat59-5.1.6-1.4.mga9.x86_64.rpm from //home/katnatek/qa-testing/x86_64
Preparing...                     ##################################################################################################
      1/8: lib64avutil57         ##################################################################################################
      2/8: lib64swresample4      ##################################################################################################
      3/8: lib64avcodec59        ##################################################################################################
      4/8: lib64swscaler6        ##################################################################################################
      5/8: lib64postproc56       ##################################################################################################
      6/8: lib64avformat59       ##################################################################################################
      7/8: lib64avfilter8        ##################################################################################################
      8/8: ffmpeg                ##################################################################################################
      1/8: removing ffmpeg-5.1.6-1.3.mga9.tainted.x86_64
                                 ##################################################################################################
      2/8: removing lib64avformat59-5.1.6-1.3.mga9.tainted.x86_64
                                 ##################################################################################################
      3/8: removing lib64avfilter8-5.1.6-1.3.mga9.tainted.x86_64
                                 ##################################################################################################
      4/8: removing lib64avcodec59-5.1.6-1.3.mga9.tainted.x86_64
                                 ##################################################################################################
      5/8: removing lib64swresample4-5.1.6-1.3.mga9.tainted.x86_64
                                 ##################################################################################################
      6/8: removing lib64postproc56-5.1.6-1.3.mga9.tainted.x86_64
                                 ##################################################################################################
      7/8: removing lib64swscaler6-5.1.6-1.3.mga9.tainted.x86_64
                                 ##################################################################################################
      8/8: removing lib64avutil57-5.1.6-1.3.mga9.tainted.x86_64
                                 ##################################################################################################

Play audio and video files with ffplay OK
Comment 4 katnatek 2025-03-06 02:41:56 CET 
RH x86_64

tainted

installing lib64avcodec59-5.1.6-1.4.mga9.tainted.x86_64.rpm lib64avutil57-5.1.6-1.4.mga9.tainted.x86_64.rpm ffmpeg-5.1.6-1.4.mga9.tainted.x86_64.rpm lib64swscaler6-5.1.6-1.4.mga9.tainted.x86_64.rpm lib64postproc56-5.1.6-1.4.mga9.tainted.x86_64.rpm lib64swresample4-5.1.6-1.4.mga9.tainted.x86_64.rpm lib64avformat59-5.1.6-1.4.mga9.tainted.x86_64.rpm lib64avfilter8-5.1.6-1.4.mga9.tainted.x86_64.rpm from //home/katnatek/qa-testing/x86_64
Preparing...                     ##################################################################################################
      1/8: lib64avutil57         ##################################################################################################
      2/8: lib64swresample4      ##################################################################################################
      3/8: lib64avcodec59        ##################################################################################################
      4/8: lib64swscaler6        ##################################################################################################
      5/8: lib64postproc56       ##################################################################################################
      6/8: lib64avformat59       ##################################################################################################
      7/8: lib64avfilter8        ##################################################################################################
      8/8: ffmpeg                ##################################################################################################
      1/8: removing ffmpeg-5.1.6-1.4.mga9.x86_64
                                 ##################################################################################################
      2/8: removing lib64avformat59-5.1.6-1.4.mga9.x86_64
                                 ##################################################################################################
      3/8: removing lib64avfilter8-5.1.6-1.4.mga9.x86_64
                                 ##################################################################################################
      4/8: removing lib64avcodec59-5.1.6-1.4.mga9.x86_64
                                 ##################################################################################################
      5/8: removing lib64swresample4-5.1.6-1.4.mga9.x86_64
                                 ##################################################################################################
      6/8: removing lib64postproc56-5.1.6-1.4.mga9.x86_64
                                 ##################################################################################################
      7/8: removing lib64swscaler6-5.1.6-1.4.mga9.x86_64
                                 ##################################################################################################
      8/8: removing lib64avutil57-5.1.6-1.4.mga9.x86_64
                                 ##################################################################################################

Play audio and video files with ffplay OK
Comment 5 Herman Viaene 2025-03-06 11:01:10 CET 
MGA9-64 Plasma Wayland on Compaq H000SB
No installation issues, first install and test core versions, the tainted.
Testing each time by using ffplay on mp4, mpg and avi files.
All worked OK.

CC: (none) => herman.viaene
Whiteboard: (none) => MGA9-64-OK

Comment 6 Thomas Andrews 2025-03-06 16:08:08 CET 
Validating.

Keywords: (none) => validated_update
CC: (none) => andrewsfarm, sysadmin-bugs

Comment 7 Mageia Robot 2025-03-06 18:57:39 CET 
An update for this issue has been pushed to the Mageia Updates repository.

https://advisories.mageia.org/MGASA-2025-0087.html

Resolution: (none) => FIXED
Status: ASSIGNED => RESOLVED
Note You need to log in before you can comment on or make changes to this bug.