Forum

Bonjour les Magéiens,

en lisant un article du monde, je remarque qu'une faille sur ffmpeg, je cite "La deuxième, vieille de seize ans, touche FFmpeg, un module utilisé dans le codage de vidéo. La ligne
de code où se situe la faille « avait été testée cinq millions de fois sans jamais être détectée".

Du coup par curiosité je vérifie la version sur Mageia, et constate que le paquetage rpm est en version 5.1.8, tandis que sur https://ffmpeg.org/security.html la dernière est 8.0.1, ce qui fait une bonne différence.

Qu'en disent les experts en sécurité du forum ? Ca craint un peu non ?
Merci
Bruno

Édité par lcb1 Le 19/04/2026 à 16h34

ps : du coup est-ce qu'il ne vaut pas mieux installer le code source fournit par le site ? Mais est-ce que ça fonctionnera pareil ?

Bonjour,

L'équipe sécurité de Mageia applique des patchs si nécessaire aux logiciels fournis. Faire une montée de version de ffmpeg est très complexe car cela risque de casser les logiciels qui l'utilisent, et ils sont très nombreux.

Il faudrait vérifier au cas par cas, mais compiler soit même une autre version plus récente ne garantie pas que les logiciels l'utilisent. Il faudra peut-être recompiler ceux-ci.

Salut Yuusha, oui je m'en doutais fortement.
Reste la première question, j'ai cherché vite fait sans trouver "l'exploit" possible, c'est peut-être pas documenté précisément pour ne pas inciter des malveillances.

Édité par lcb1 Le 20/04/2026 à 14h38

Bonjour,
Il faudrait une référence CVE pour vérifier si on a appliquer une correction.
Certaines alertes sont enregistrées mais sans correctifs appliqués.

L'article du Monde est succinct, il mentionnait ça en exemple, avec des vulnérabilités du noyau et une, vieille de 27 ans sur OpenBSD. Les européens (à part les anglais) n'ont pas accès aux découvertes de Mythos.

Pour ceux que ça intéresse
https://www.schneier.com/blog/archives/2026/04/on-anthropics-mythos-preview-and-project-glasswing.html

Je classe en résolu même si ça ne l'est pas

Admettons ffmpeg a une faille de sécurité.
Comment peut-elle être exploitée ?

Le pire des cas que je puisse imaginer:
Un site web malveillant fourni une vidéo corrompue, lorsque tu ouvres la page avec Firefox, ffmpeg se met en route pour lire et corrompre l'ordinateur.
Il faut une faille coté ffmpeg et coté firefox.

Cas moyen :
un utilisateur local du PC utilise ffmpeg pour devenir root.

D'un cas comme dans l'autre, l'exploit ne m'a pas l'air critique pour les utilisateurs régulier du forum MLO.

C'est peut-être celle-ci, mais aucun site ne donne le numéro exacte : https://app.opencve.io/cve/CVE-2026-40962

C'est probablement ça oui (Yuusha)
Dans un article du Monde qui fait suite il y a cette référence au CIAnum, qui s'exprime apparemment rarement publiquement sur ces sujets
https://www.conseil-ia-numerique.fr/nos-travaux/ia-et-cybersecurite-anticiper-aujourdhui-pour-maitriser-demain

Ma question était en fait d'ordre général, sur le workflow des maj mageia, comment ça se passe, constatant qu'entre la version 5.1.8 du paquet actuel et la 8.1 de FFmpeg il y a quand même une bonne marge.