BDU:2024-11336

Опубликовано: 02 окт. 2024

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость функции gst_opus_dec_parse_header мультимедийного фреймворка Gstreamer связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Red Hat Inc.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

ООО «РусБИТех-Астра»

Сообщество GStreamer

АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux

Debian GNU/Linux

РЕД ОС

Astra Linux Special Edition

Gstreamer

ОСОН ОСнова Оnyx

Версия ПО

7 (Red Hat Enterprise Linux)

8 (Red Hat Enterprise Linux)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

9 (Red Hat Enterprise Linux)

8.2 Advanced Update Support (Red Hat Enterprise Linux)

8.4 Telecommunications Update Service (Red Hat Enterprise Linux)

8.4 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.4 Advanced Mission Critical Update Support (Red Hat Enterprise Linux)

8.8 Extended Update Support (Red Hat Enterprise Linux)

9.2 Extended Update Support (Red Hat Enterprise Linux)

9.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.6 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.6 Telecommunications Update Service (Red Hat Enterprise Linux)

8.6 Advanced Mission Critical Update Support (Red Hat Enterprise Linux)

1.8 (Astra Linux Special Edition)

9.4 Extended Update Support (Red Hat Enterprise Linux)

до 1.24.10 (Gstreamer)

до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7

Red Hat Inc. Red Hat Enterprise Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Red Hat Inc. Red Hat Enterprise Linux 9

Red Hat Inc. Red Hat Enterprise Linux 8.2 Advanced Update Support

Red Hat Inc. Red Hat Enterprise Linux 8.4 Telecommunications Update Service

Red Hat Inc. Red Hat Enterprise Linux 8.4 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support

Red Hat Inc. Red Hat Enterprise Linux 8.8 Extended Update Support

Red Hat Inc. Red Hat Enterprise Linux 9.2 Extended Update Support

Red Hat Inc. Red Hat Enterprise Linux 9.0 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.6 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.6 Telecommunications Update Service

Red Hat Inc. Red Hat Enterprise Linux 8.6 Advanced Mission Critical Update Support

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Red Hat Inc. Red Hat Enterprise Linux 9.4 Extended Update Support

АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Критический уровень опасности (оценка CVSS 4.0 составляет 9,3)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для GStreamer:

https://gstreamer.freedesktop.org/security/sa-2024-0024.html

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2024-47607

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-47607

Для РЕД ОС:

https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-gstreamer1-plugins-good/?sphrase_id=641091

Обновление программного обеспечения gst-plugins-base1.0 до версии 1.18.4-2+deb11u3.osnova2u1

Для ОС Astra Linux:

обновить пакет gst-plugins-base1.0 до 1.22.0-3+deb12u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-47607
CVE

EPSS

Процентиль: 33%

0.00127

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2024-47607

CVSS3: 9.8

ubuntu

6 месяцев назад

GStreamer is a library for constructing graphs of media-handling components. stack-buffer overflow has been detected in the gst_opus_dec_parse_header function within `gstopusdec.c'. The pos array is a stack-allocated buffer of size 64. If n_channels exceeds 64, the for loop will write beyond the boundaries of the pos array. The value written will always be GST_AUDIO_CHANNEL_POSITION_NONE. This bug allows to overwrite the EIP address allocated in the stack. This vulnerability is fixed in 1.24.10.

CVE-2024-47607

CVSS3: 9.8

redhat

6 месяцев назад

CVE-2024-47607

CVSS3: 9.8

nvd

6 месяцев назад

CVE-2024-47607

CVSS3: 9.8

debian

6 месяцев назад

GStreamer is a library for constructing graphs of media-handling compo ...

ROS-20250121-12

CVSS3: 9.8

redos

5 месяцев назад

Множественные уязвимости gstreamer1-plugins-good

EPSS

Процентиль: 33%

0.00127

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2