Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-11331

Опубликовано: 02 окт. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции gst_gdk_pixbuf_dec_flush мультимедийного фреймворка Gstreamer связана с разыменованием нулевого указателя NULL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
Сообщество GStreamer
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Gstreamer
ОСОН ОСнова Оnyx

Версия ПО

7 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
9 (Red Hat Enterprise Linux)
8.2 Advanced Update Support (Red Hat Enterprise Linux)
9.2 Extended Update Support (Red Hat Enterprise Linux)
9.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.6 Update Services for SAP Solutions (Red Hat Enterprise Linux)
8.6 Telecommunications Update Service (Red Hat Enterprise Linux)
8.6 Advanced Mission Critical Update Support (Red Hat Enterprise Linux)
1.8 (Astra Linux Special Edition)
9.4 Extended Update Support (Red Hat Enterprise Linux)
до 1.24.10 (Gstreamer)
до 2.13 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Red Hat Inc. Red Hat Enterprise Linux 9
Red Hat Inc. Red Hat Enterprise Linux 8.2 Advanced Update Support
Red Hat Inc. Red Hat Enterprise Linux 9.2 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 9.0 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.6 Update Services for SAP Solutions
Red Hat Inc. Red Hat Enterprise Linux 8.6 Telecommunications Update Service
Red Hat Inc. Red Hat Enterprise Linux 8.6 Advanced Mission Critical Update Support
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Red Hat Inc. Red Hat Enterprise Linux 9.4 Extended Update Support
АО "НППКТ" ОСОН ОСнова Оnyx до 2.13

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Критический уровень опасности (базовая оценка CVSS 4.0 составляет 9,3)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
https://gstreamer.freedesktop.org/security/sa-2024-0025.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-47613
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-47613
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-gstreamer1-plugins-good/?sphrase_id=641091
Обновление программного обеспечения gst-plugins-good1.0 до версии 1.18.4-2+deb11u3
Для ОС Astra Linux:
обновить пакет gst-plugins-good1.0 до 1.22.1-1ubuntu1.2astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 44%
0.00209
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-47613

CVSS3: 9.8
ubuntu
11 месяцев назад

GStreamer is a library for constructing graphs of media-handling components. A null pointer dereference vulnerability has been identified in `gst_gdk_pixbuf_dec_flush` within `gstgdkpixbufdec.c`. This function invokes `memcpy`, using `out_pix` as the destination address. `out_pix` is expected to point to the frame 0 from the frame structure, which is read from the input file. However, in certain situations, it can points to a NULL frame, causing the subsequent call to `memcpy` to attempt writing to the null address (0x00), leading to a null pointer dereference. This vulnerability can result in a Denial of Service (DoS) by triggering a segmentation fault (SEGV). This vulnerability is fixed in 1.24.10.

redhat логотип

CVE-2024-47613

CVSS3: 6.5
redhat
11 месяцев назад

GStreamer is a library for constructing graphs of media-handling components. A null pointer dereference vulnerability has been identified in `gst_gdk_pixbuf_dec_flush` within `gstgdkpixbufdec.c`. This function invokes `memcpy`, using `out_pix` as the destination address. `out_pix` is expected to point to the frame 0 from the frame structure, which is read from the input file. However, in certain situations, it can points to a NULL frame, causing the subsequent call to `memcpy` to attempt writing to the null address (0x00), leading to a null pointer dereference. This vulnerability can result in a Denial of Service (DoS) by triggering a segmentation fault (SEGV). This vulnerability is fixed in 1.24.10.

nvd логотип

CVE-2024-47613

CVSS3: 9.8
nvd
11 месяцев назад

GStreamer is a library for constructing graphs of media-handling components. A null pointer dereference vulnerability has been identified in `gst_gdk_pixbuf_dec_flush` within `gstgdkpixbufdec.c`. This function invokes `memcpy`, using `out_pix` as the destination address. `out_pix` is expected to point to the frame 0 from the frame structure, which is read from the input file. However, in certain situations, it can points to a NULL frame, causing the subsequent call to `memcpy` to attempt writing to the null address (0x00), leading to a null pointer dereference. This vulnerability can result in a Denial of Service (DoS) by triggering a segmentation fault (SEGV). This vulnerability is fixed in 1.24.10.

debian логотип

CVE-2024-47613

CVSS3: 9.8
debian
11 месяцев назад

GStreamer is a library for constructing graphs of media-handling compo ...

redos логотип

ROS-20250121-12

CVSS3: 9.8
redos
10 месяцев назад

Множественные уязвимости gstreamer1-plugins-good

EPSS

Процентиль: 44%
0.00209
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2