PT-2024-9621 · Gstreamer+10 · Gstreamer+10

Antonio Morales

+1

·

Publicado

2024-09-27

·

Atualizado

2025-05-14

·

CVE-2024-47598

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do GStreamer anteriores à 1.24.10
Descrição
Foi descoberta uma vulnerabilidade na função qtdemux merge sample table, localizada no arquivo qtdemux.c, que faz parte da biblioteca GStreamer. Esse problema está relacionado a uma leitura fora dos limites (OOB) na memória. O problema surge porque o tamanho do buffer stts não é verificado adequadamente antes da leitura de stts duration, permitindo que o programa leia 4 bytes além dos limites de stts->data. Isso pode levar a uma negação de serviço. A vulnerabilidade pode ser explorada por um invasor remoto.
Recomendações
Para versões anteriores à 1.24.10, atualize para a versão 1.24.10 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função qtdemux merge sample table até que um patch seja aplicado. Evite usar a variável stts duration na função afetada até que o problema seja resolvido.

Exploit

Correção

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

ALSA-2025:7242
ALSA-2025_7242
ALT-PU-2025-2299
AZL-62345
BDU:2024-11333
CVE-2024-47598
DLA-4071-1
DSA-5838-1
INFSA-2025_7242
MGASA-2025-0040
OESA-2024-2596
OPENSUSE-SU-2024:14578-1
OPENSUSE-SU-2025_0055-1
OPENSUSE-SU-2025_0064-1
OPENSUSE-SU-2025_0067-1
RHSA-2025:7242
RHSA-2025_7242
SUSE-SU-2025:0055-1
SUSE-SU-2025:0064-1
SUSE-SU-2025:0067-1
USN-7176-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Debian
Gstreamer
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu