BDU:2023-08257

Опубликовано: 19 окт. 2023

Источник: fstec

CVSS3: 8.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость парсера MXF-файлов мультимедийного фреймворка Gstreamer связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Novell Inc.

ООО «Ред Софт»

ООО «РусБИТех-Астра»

АО «ИВК»

Сообщество GStreamer

АО "НППКТ"

Наименование ПО

Suse Linux Enterprise Server

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

SUSE Linux Enterprise High Performance Computing

РЕД ОС

Astra Linux Special Edition

Suse Linux Enterprise Desktop

SUSE Manager Retail Branch Server

SUSE Manager Server

SUSE Linux Enterprise Module for Basesystem

SUSE Linux Enterprise Module for Desktop Applications

SUSE Linux Enterprise Real Time

SUSE Linux Enterprise Module for Package Hub

АЛЬТ СП 10

Gstreamer

ОСОН ОСнова Оnyx

Версия ПО

12-LTSS (Suse Linux Enterprise Server)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise Software Development Kit)

12 SP5 (SUSE Linux Enterprise High Performance Computing)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

15 SP4 (Suse Linux Enterprise Server)

15 SP4 (Suse Linux Enterprise Desktop)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

4.3 (SUSE Manager Retail Branch Server)

4.3 (SUSE Manager Server)

15 SP4 (SUSE Linux Enterprise High Performance Computing)

15 SP4 (SUSE Linux Enterprise Module for Basesystem)

15 SP4 (SUSE Linux Enterprise Module for Desktop Applications)

4.7 (Astra Linux Special Edition)

15 SP3 (SUSE Linux Enterprise Real Time)

15 SP4 (SUSE Linux Enterprise Module for Package Hub)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

15 SP5 (SUSE Linux Enterprise High Performance Computing)

15 SP5 (SUSE Linux Enterprise Module for Basesystem)

15 SP5 (SUSE Linux Enterprise Module for Desktop Applications)

15 SP5 (SUSE Linux Enterprise Module for Package Hub)

- (АЛЬТ СП 10)

до 1.22.7 (Gstreamer)

до 2.9 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Сетевое средство

Операционные системы и аппаратные платформы

Novell Inc. Suse Linux Enterprise Server 12-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Novell Inc. SUSE Linux Enterprise Real Time 15 SP3

Novell Inc. SUSE Linux Enterprise Module for Package Hub 15 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP5

Novell Inc. SUSE Linux Enterprise Module for Package Hub 15 SP5

АО «ИВК» АЛЬТ СП 10 -

АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для GStreamer:

https://gstreamer.freedesktop.org/security/sa-2023-0010.html

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2023-44446.html

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения gst-plugins-bad1.0 до версии 1.18.4-3+deb11u3.osnova1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux Special Edition 1.7:

обновить пакет gst-plugins-bad1.0 до 1.18.4-1astra3.1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 4.7 для архитектуры ARM:

обновить пакет gst-plugins-bad1.0 до 1.18.4-1astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%

0.02809

Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ROS-20240731-03

CVSS3: 8.8

redos

11 месяцев назад

Уязвимость gstreamer1-plugins-bad-free

CVE-2023-44446

CVSS3: 8.8

ubuntu

около 1 года назад

GStreamer MXF File Parsing Use-After-Free Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of GStreamer. Interaction with this library is required to exploit this vulnerability but attack vectors may vary depending on the implementation. The specific flaw exists within the parsing of MXF video files. The issue results from the lack of validating the existence of an object prior to performing operations on the object. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-22299.

CVE-2023-44446

CVSS3: 8.8

redhat

больше 1 года назад

CVE-2023-44446

CVSS3: 8.8

nvd

около 1 года назад

CVE-2023-44446

CVSS3: 8.8

debian

около 1 года назад

GStreamer MXF File Parsing Use-After-Free Remote Code Execution Vulner ...

EPSS

Процентиль: 85%

0.02809

Низкий

8.8 High

CVSS3

10 Critical

CVSS2