PT-2024-9625 · Gstreamer+10 · Gstreamer+10
Antonio Morales
+1
·
Publicado
2024-10-02
·
Atualizado
2025-10-07
·
CVE-2024-47615
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do GStreamer anteriores à 1.24.10
Descrição
O problema está relacionado à função
gst parse vorbis setup packet na estrutura multimídia GStreamer, associada a um estouro de buffer na memória. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. A vulnerabilidade se deve a uma gravação fora dos limites na função gst parse vorbis setup packet dentro de vorbis parse.c, onde um tamanho inteiro é lido do arquivo de entrada sem validação adequada, podendo exceder o tamanho fixo da matriz pad->vorbis mode sizes. Isso pode sobrescrever até 380 bytes de memória além dos limites da matriz, afetando a memória adjacente.Recomendações
Para versões anteriores à 1.24.10, atualize para a versão 1.24.10 para corrigir este problema e proteger seu sistema. Como solução temporária, considere restringir o uso da função
gst parse vorbis setup packet até que um patch esteja disponível.Exploit
Correção
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Gstreamer
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu