BDU:2024-11337

Опубликовано: 02 окт. 2024

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость функции gst_parse_vorbis_setup_packet мультимедийного фреймворка Gstreamer связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Red Hat Inc.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

ООО «РусБИТех-Астра»

Сообщество GStreamer

АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux

Debian GNU/Linux

РЕД ОС

Astra Linux Special Edition

Gstreamer

ОСОН ОСнова Оnyx

Версия ПО

7 (Red Hat Enterprise Linux)

8 (Red Hat Enterprise Linux)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

9 (Red Hat Enterprise Linux)

8.2 Advanced Update Support (Red Hat Enterprise Linux)

8.4 Telecommunications Update Service (Red Hat Enterprise Linux)

8.4 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.4 Advanced Mission Critical Update Support (Red Hat Enterprise Linux)

8.8 Extended Update Support (Red Hat Enterprise Linux)

9.2 Extended Update Support (Red Hat Enterprise Linux)

9.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.6 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.6 Telecommunications Update Service (Red Hat Enterprise Linux)

8.6 Advanced Mission Critical Update Support (Red Hat Enterprise Linux)

1.8 (Astra Linux Special Edition)

9.4 Extended Update Support (Red Hat Enterprise Linux)

до 1.24.10 (Gstreamer)

до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7

Red Hat Inc. Red Hat Enterprise Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Red Hat Inc. Red Hat Enterprise Linux 9

Red Hat Inc. Red Hat Enterprise Linux 8.2 Advanced Update Support

Red Hat Inc. Red Hat Enterprise Linux 8.4 Telecommunications Update Service

Red Hat Inc. Red Hat Enterprise Linux 8.4 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support

Red Hat Inc. Red Hat Enterprise Linux 8.8 Extended Update Support

Red Hat Inc. Red Hat Enterprise Linux 9.2 Extended Update Support

Red Hat Inc. Red Hat Enterprise Linux 9.0 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.6 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.6 Telecommunications Update Service

Red Hat Inc. Red Hat Enterprise Linux 8.6 Advanced Mission Critical Update Support

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Red Hat Inc. Red Hat Enterprise Linux 9.4 Extended Update Support

АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Критический уровень опасности (оценка CVSS 4.0 составляет 9,3)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для GStreamer:

https://gitlab.freedesktop.org/gstreamer/gstreamer/-/merge_requests/8038.patch

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2024-47615

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2024-47615

Для РЕД ОС:

https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-gstreamer1-plugins-good/?sphrase_id=641091

Обновление программного обеспечения gst-plugins-base1.0 до версии 1.18.4-2+deb11u3.osnova2u1

Для ОС Astra Linux:

обновить пакет gst-plugins-base1.0 до 1.22.0-3+deb12u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-47615
CVE

EPSS

Процентиль: 33%

0.00127

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2024-47615

CVSS3: 9.8

ubuntu

6 месяцев назад

GStreamer is a library for constructing graphs of media-handling components. An OOB-Write has been detected in the function gst_parse_vorbis_setup_packet within vorbis_parse.c. The integer size is read from the input file without proper validation. As a result, size can exceed the fixed size of the pad->vorbis_mode_sizes array (which size is 256). When this happens, the for loop overwrites the entire pad structure with 0s and 1s, affecting adjacent memory as well. This OOB-write can overwrite up to 380 bytes of memory beyond the boundaries of the pad->vorbis_mode_sizes array. This vulnerability is fixed in 1.24.10.

CVE-2024-47615

CVSS3: 9.8

redhat

6 месяцев назад

CVE-2024-47615

CVSS3: 9.8

nvd

6 месяцев назад

CVE-2024-47615

CVSS3: 9.8

debian

6 месяцев назад

GStreamer is a library for constructing graphs of media-handling compo ...

ROS-20250121-12

CVSS3: 9.8

redos

5 месяцев назад

Множественные уязвимости gstreamer1-plugins-good

EPSS

Процентиль: 33%

0.00127

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2