检测

GLSA-202208-31:GStreamer、GStreamer 插件:多个漏洞

critical Nessus 插件 ID 164117

语言:

描述

远程主机受到 GLSA-202208-31 中所述漏洞的影响(GStreamer、GStreamer 插件:多个漏洞)

 - 在 gst-plugins-bad v1.18.1 之前版本的 gstreamer h264 组件中发现一个缺陷,当程序解析 h264 标头时,攻击者可利用此缺陷造成堆栈崩溃、内存损坏,并可能导致代码执行。(CVE-2021-3185)

 - GStreamer 1.18.4 之前版本在解复用某些格式错误的 Matroska 文件时,可能会访问错误代码路径中已释放的内存。(CVE-2021-3497)

 - GStreamer 1.18.4 之前版本在解析某些格式错误的 Matroska 文件时,可能会造成堆损坏。
 (CVE-2021-3498)

 - 低于 1.18.4 的 GStreamer 版本在处理某些 ID3v2 标记时可能会执行越界读取。
 (CVE-2021-3522)

请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号来判断。

解决方案

所有 GStreamer 用户均应更新至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=media-libs/gstreamer-1.20.2 所有 gst-plugins-bad 用户均应更新至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=media-libs/gst-plugins-bad-1.20.2 所有 gst-plugins-good 用户均应更新至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=media-libs/gst-plugins-good-1.20.2 所有 gst-plugins-ugly 用户均应更新至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=media-libs/gst-plugins-ugly-1.20.2 所有 gst-plugins-base 用户均应更新至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=media-libs/gst-plugins-base-1.20.2 所有 gst-plugins-libav 用户均应更新至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=media-plugins/gst-plugins-libav-1.20.2

另见

https://security.gentoo.org/glsa/202208-31

https://bugs.gentoo.org/show_bug.cgi?id=765163

https://bugs.gentoo.org/show_bug.cgi?id=766336

https://bugs.gentoo.org/show_bug.cgi?id=785652

https://bugs.gentoo.org/show_bug.cgi?id=785655

https://bugs.gentoo.org/show_bug.cgi?id=785658

https://bugs.gentoo.org/show_bug.cgi?id=785661

https://bugs.gentoo.org/show_bug.cgi?id=835368

https://bugs.gentoo.org/show_bug.cgi?id=843770

插件详情

严重性: Critical

ID: 164117

文件名: gentoo_GLSA-202208-31.nasl

版本: 1.3

类型: local

发布时间: 2022/8/15

最近更新时间: 2023/10/16

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2021-3185

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:gentoo:linux:gstreamer, cpe:/o:gentoo:linux, p-cpe:/a:gentoo:linux:gst-plugins-bad, p-cpe:/a:gentoo:linux:gst-plugins-base, p-cpe:/a:gentoo:linux:gst-plugins-good, p-cpe:/a:gentoo:linux:gst-plugins-libav, p-cpe:/a:gentoo:linux:gst-plugins-ugly

必需的 KB 项: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2022/8/14

漏洞发布日期: 2021/1/26

参考资料信息

CVE: CVE-2021-3185, CVE-2021-3497, CVE-2021-3498, CVE-2021-3522