DFN-CERT-2017-0233 GStreamer Bad Free Plug-ins: Zwei Schwachstellen ermöglichen u.a. verschiedene Denial-of-Service-Angriffe [Linux][Fedora]

DFN-CERT-2017-0233 GStreamer Bad Free Plug-ins: Zwei Schwachstellen ermöglichen u.a. verschiedene Denial-of-Service-Angriffe [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GStreamer

Betroffene Plattformen:

Red Hat Fedora 25

Zwei Schwachstellen in den GStreamer Bad Free Plug-ins ermöglichen einem
entfernten, nicht authentifizierten Angreifer die Durchführung verschiedener
Denial-of-Service-Angriffe mit Hilfe speziell präparierter Dateien und
möglicherweise weitere, nicht spezifizierte Angriffe, zu denen das Ausführen
beliebigen Programmcodes gehören kann.

Für Fedora 25 steht ein Sicherheitsupdate für das Paket
‘mingw-gstreamer1-plugins-bad-free’ auf Version 1.10.3 im Status ‘testing’
zur Verfügung.

Patch:

Fedora Security Update FEDORA-2017-216f4b9f9d (Fedora 25,
mingw-gstreamer1-plugins-bad-free-1.10.3-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-216f4b9f9d

CVE-2017-5848: Schwachstelle in GStreamer Plugin ermöglicht
Denial-of-Service-Angriff

Im PSM-Parser ‘gst_ps_demux_parse_psm’ kann es zum ungültigen, lesenden
Zugriff auf Speicher (Invalid Memory Read) und möglicherweise einem
Speicherüberlauf (Buffer Overflow) kommen. Ein entfernter, nicht
authentifizierter Angreifer kann dies mit Hilfe einer speziell präparierten
Datei ausnutzen, um einen Denial-of-Service-Zustand herbeizuführen.

CVE-2017-5843: Schwachstelle in GStreamer Plugin ermöglicht u.a.
Denial-of-Service-Angriff

In ‘gst_mini_object_unref’, ‘gst_tag_list_unref’ und
‘gst_mxf_demux_update_essence_tracks’ kann es zur Verwendung freigegebenen
Speichers kommen (Use-after-Free). Ein entfernter, nicht authentifizierter
Angreifer kann dies mit Hilfe einer speziell präparierten Datei ausnutzen,
um einen Denial-of-Service-Zustand herbeizuführen oder möglicherweise
weitere, nicht spezifizierte Angriffe durchführen, zu denen das Ausführen
beliebigen Programmcodes gehören kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0233/

Schwachstelle CVE-2017-5843 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5843

Schwachstelle CVE-2017-5848 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5848

Fedora Security Update FEDORA-2017-216f4b9f9d (Fedora 25,
mingw-gstreamer1-plugins-bad-free-1.10.3-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-216f4b9f9d

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben