PT-2024-10371 · Gstreamer+10 · Gstreamer+10
Antonio Morales
+1
·
Publicado
2024-12-11
·
Atualizado
2026-05-08
·
CVE-2024-47546
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do GStreamer anteriores à 1.24.10
Descrição
O GStreamer é uma biblioteca para a construção de grafos de componentes de tratamento de mídia. Foi detectado um subfluxo de inteiros na função
extract cc from data dentro do arquivo qtdemux.c. No caso de FOURCC c708, a subtração atom length - 8 pode resultar em um subfluxo se atom length for menor que 8. Quando essa subtração resulta em subfluxo, *cclen acaba se tornando um número muito grande e, em seguida, cclen é passado para g memdup2, levando a uma leitura fora dos limites (OOB). Esse problema pode permitir que um invasor remoto acesse informações confidenciais.Recomendações
Para versões anteriores à 1.24.10, atualize para a versão 1.24.10 para resolver o problema. Como solução temporária, considere restringir o acesso ao componente
qtdemux.c até que um patch esteja disponível. Evite usar a função extract cc from data em operações confidenciais até que o problema seja resolvido.Exploit
Correção
DoS
Out of bounds Read
Integer Underflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Debian
Gstreamer
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu