BDU:2021-00807: Уязвимость функции gst_avi_demux_parse_ncdt (gst/avi/gstavidemux.c) плагина gst-plugins-good мультимедийного фреймворка Gstreamer, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции gst_avi_demux_parse_ncdt (gst/avi/gstavidemux.c) плагина gst-plugins-good мультимедийного фреймворка Gstreamer связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании через векторы, содержащие теги ncdt
Вендор Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Юбитех», Сообщество GStreamer
Наименование ПО Red Hat Enterprise Linux, Debian GNU/Linux, UBLinux (запись в едином реестре российских программ №6874), Gstreamer
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • до 21.1 (UBLinux)
  • до 1.10.2 включительно (Gstreamer)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Чтение за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 20.01.2017
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Gstreamer:
https://gstreamer.freedesktop.org/releases/1.10/#1.10.3

Для UBLinux:
https://security.ublinux.ru/ASA-201702-3/generate

Для Debian GNU/Linux:
https://www.debian.org/security/2017/dsa-3820

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2017:2060
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения