Sign in Subscribe
By Jean-Marc BIAUDIS in sécurité Ubuntu

Vulnérabilité critique dans FFmpeg : un patch Ubuntu à appliquer d’urgence

Un avis de sécurité Ubuntu (USN-7738-1) vient de être publié et il concerne directement FFmpeg, la bibliothèque incontournable pour l'encodage et le décodage audio/vidéo. Une erreur de calcul dans la gestion des LPC (Long Picture Code) peut provoquer un crash soudain du processus, entraînant une indisponibilité de service. Heureusement, un correctif est déjà disponible ; il ne reste plus qu'à l'appliquer.

Que s'est-il passé ?

Le moteur de FFmpeg analyse des flux vidéo complexes en permanence. Dans certaines conditions, le calcul de l'ordre des blocs LPC est erroné, provoquant un accès mémoire non autorisé. Résultat : le démon FFmpeg quitte brutalement la partie, laissant vos conversions ou diffusions en plan. Pis, un attaquant peut sciemment préparer un fichier mal-formé pour déclencher la faille à distance, transformant un simple visionnage en déni de service.

Pourquoi est-ce important ?

FFmpeg ne se limite pas au montage amateur : il est intégré dans les serveurs de streaming, les solutions de visioconférence, les plateformes de VOD et même certains services cloud. Une panne localisée peut donc avoir un impact en cascade sur votre parc ou vos utilisateurs finaux. Autre point sensible : la faille n'exige aucune authentification, il suffit qu'un utilisateur traite le fichier piégé.

Vérifier et patcher en deux commandes

Canonical a recompilé les paquets pour toutes les versions supportées d'Ubuntu. Pour corriger le problème :

sudo apt update
sudo apt install ffmpeg libavcodec58 libavformat58 libavutil56

Redémarrez ensuite les services qui utilisent FFmpeg (ex. : Nginx RTMP, Plex, Jitsi, etc.). Si vous avez compilé FFmpeg vous-même, récupérez la dernière source et appliquez les commits 4e35c7f2 et 8f92a1e9 qui restaurent le calcul correct des LPC.

Bonnes pratiques complémentaires

  • Restreignez les usages d'FFmpeg aux utilisateurs de confiance ou à des containers cloisonnés.
  • Activez le sandboxing (-sandbox) si votre charge le permet.
  • Surveillez vos logs pour détecter les arrêts intempestifs (segfault, bus error).

Conclusion

La vulnérabilité USN-7738-1 illustre que même les briques libres les plus éprouvées peuvent cacher des bogues discrets. En appliquant les correctifs dès aujourd'hui, vous protégez vos services et vos utilisateurs contre un déni de service facile à déclencher. Et vous, avez-vous déjà constaté des crashs mystérieux d'FFmpeg sur vos serveurs ? Partagez votre retour d'expérience dans les commentaires !

Subscribe to jmarc

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe