ISN 2025-03: Sicherheitslücken in Gstreamer
Erstveröffentlichung: 15. Januar 2025
CVSS 3.1: 8.4 (Hoch)
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Zusammenfassung
In GStreamer, dem Multimedia-Framework von IGEL OS, wurden mehrere Sicherheitslücken entdeckt. Betroffen sind folgenden Produktversionen:
IGEL OS 12
IGEL OS 11
Details
Im MP4/MOV-Demuxer von GStreamer wurde ein Out-of-Bounds-Schreibzugriff entdeckt: CEA608-Untertitelspuren können bei bestimmten Eingabedateien zu Abstürzen führen (CVE-2024-47539).
Ein weiterer Out-of-Bounds-Schreibzugriff wird durch einen Integer-Überlauf verursacht und ist unter CVE-2024-47537 erfasst. Eine dritte Schwachstelle betrifft ebenfalls einen Out-of-Bounds-Schreibzugriff im MP4/MOV-Demuxer sowie im Speicherverwaltungsmodul (Memory Allocator) von GStreamer (CVE-2024-47606). Diese Schwachstellen könnten es einem Angreifer ermöglichen, die Anwendung zum Absturz zu bringen und durch gezielte Heap-Manipulation Code auszuführen. IGEL stuft diese Schwachstellen im Kontext von IGEL OS als schwerwiegend (hoch) ein.
Abschließend wurde eine Schwachstelle durch Dereferenzierung eines Nullzeigers identifiziert (CVE-2024-47613, hoch). Diese Schwachstelle kann zu einem Denial-of-Service (DoS) führen, indem sie einen Segmentierungsfehler (Segmentation Fault) auslöst.
Abhilfemaßnahmen
Bis die fehlerbereinigte Version installiert ist, kann die Schwachstelle dadurch abgeschwächt werden, dass die Wiedergabe lokaler MP4-Dateien für Benutzer unterbunden wird. Alternativ kann Citrix Multimedia Redirection deaktiviert werden, wenn mehrere unerwartete Abstürze auftreten, was auf einen möglichen Angriff hindeuten kann.
Update-Anweisungen
OS 12: Aktualisieren Sie auf OS 12.6.1 (geplant für den 18. Februar 2025).
OS 11: Aktualisieren Sie auf OS 11.10.250 (geplant für den 25. Februar 2025).
Quellen
Sicherheitsmitteilung von GStreamer: https://gstreamer.freedesktop.org/security/sa-2024-0007.html