Skip to main content
Skip table of contents

ISN 2025-03: Sicherheitslücken in Gstreamer

Erstveröffentlichung: 15. Januar 2025

CVSS 3.1: 8.4 (Hoch)

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Zusammenfassung

In GStreamer, dem Multimedia-Framework von IGEL OS, wurden mehrere Sicherheitslücken entdeckt. Betroffen sind folgenden Produktversionen:

  • IGEL OS 12

  • IGEL OS 11

Details

Im MP4/MOV-Demuxer von GStreamer wurde ein Out-of-Bounds-Schreibzugriff entdeckt: CEA608-Untertitelspuren können bei bestimmten Eingabedateien zu Abstürzen führen (CVE-2024-47539).
Ein weiterer Out-of-Bounds-Schreibzugriff wird durch einen Integer-Überlauf verursacht und ist unter CVE-2024-47537 erfasst. Eine dritte Schwachstelle betrifft ebenfalls einen Out-of-Bounds-Schreibzugriff im MP4/MOV-Demuxer sowie im Speicherverwaltungsmodul (Memory Allocator) von GStreamer (CVE-2024-47606). Diese Schwachstellen könnten es einem Angreifer ermöglichen, die Anwendung zum Absturz zu bringen und durch gezielte Heap-Manipulation Code auszuführen. IGEL stuft diese Schwachstellen im Kontext von IGEL OS als schwerwiegend (hoch) ein.

Abschließend wurde eine Schwachstelle durch Dereferenzierung eines Nullzeigers identifiziert (CVE-2024-47613, hoch). Diese Schwachstelle kann zu einem Denial-of-Service (DoS) führen, indem sie einen Segmentierungsfehler (Segmentation Fault) auslöst.

Abhilfemaßnahmen

Bis die fehlerbereinigte Version installiert ist, kann die Schwachstelle dadurch abgeschwächt werden, dass die Wiedergabe lokaler MP4-Dateien für Benutzer unterbunden wird. Alternativ kann Citrix Multimedia Redirection deaktiviert werden, wenn mehrere unerwartete Abstürze auftreten, was auf einen möglichen Angriff hindeuten kann.

Update-Anweisungen

  • OS 12: Aktualisieren Sie auf OS 12.6.1 (geplant für den 18. Februar 2025).

  • OS 11: Aktualisieren Sie auf OS 11.10.250 (geplant für den 25. Februar 2025).

Quellen

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.