PT-2024-10372 · Gstreamer+10 · Gstreamer+10
Antonio Morales
+1
·
Publicado
2024-12-11
·
Atualizado
2026-05-08
·
CVE-2024-47596
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do GStreamer anteriores à 1.24.10
Descrição
O problema está relacionado a uma leitura fora dos limites (OOB) na função
qtdemux parse svq3 stsd data dentro de qtdemux.c. Especificamente, no caso FOURCC SMI , seqh size é lido do arquivo de entrada sem a validação adequada. Se seqh size for maior do que o tamanho restante do buffer de dados, isso pode levar a uma leitura fora dos limites na chamada seguinte para gst buffer fill, que usa internamente memcpy. Isso pode resultar na leitura de até 4 GB de memória do processo ou potencialmente causar uma falha de segmentação (SEGV) ao acessar memória inválida.Recomendações
Para versões do GStreamer anteriores à 1.24.10, atualize para a versão 1.24.10 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função
qtdemux parse svq3 stsd data até que um patch esteja disponível. Evite usar a variável seqh size no arquivo qtdemux.c afetado para minimizar o risco de exploração.Exploit
Correção
DoS
Out of bounds Read
Integer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Debian
Gstreamer
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu