Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2025-00871

CVSS: 10

11.12.2024

Уязвимость функции qtdemux_parse_theora_extension мультимедийного фреймворка Gstreamer, позволяющая нарушителю выполнить произвольный код

Уязвимость функции qtdemux_parse_theora_extension мультимедийного фреймворка Gstreamer связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	11.12.2024
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Манипулирование структурами данных
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: https://gitlab.freedesktop.org/Gstreamer/Gstreamer/-/merge_requests/8032.patch Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-47606 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2024-47606 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2024-47606.html Для UBLinux: https://security.ublinux.ru/CVE-2024-47606 Обновление программного обеспечения gstreamer1.0 до версии 1.18.4-2.1+deb11u1.osnova2u1 Обновление программного обеспечения gst-plugins-good1.0 до версии 1.18.4-2+deb11u3

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-190	Целочисленное переполнение или циклический возврат

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2024-47606	GHSL-2024-166: GStreamer Integer overflows in MP4/MOV demuxer and memory allocator that can lead to out-of-bounds writes

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20250425-14	25.04.2025	Выполнение произвольного кода в Oracle Java SE

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
10	CRITICAL	2.0	AV:N/AC:L/Au:N/C:C/I:C/A:C

Идентификаторы других систем описаний уязвимостей

CVE-2024-47606

Вендор:	Microsoft Corp. Red Hat Inc. Novell Inc. Сообщество свободного программного обеспечения ООО «Ред Софт» ООО «Юбитех» Сообщество GStreamer АО "НППКТ"
Тип ПО:	Операционная система Сетевое средство Сетевое программное средство Прикладное ПО информационных систем
Наименование ПО:	Windows Red Hat Enterprise Linux openSUSE Tumbleweed Debian GNU/Linux РЕД ОС SUSE Linux Enterprise Server for SAP Applications SUSE Manager Retail Branch Server SUSE Manager Proxy SUSE Manager Server SUSE Linux Enterprise Micro SUSE Liberty Linux SUSE Linux Enterprise High Performance Computing Suse Linux Enterprise Server Suse Linux Enterprise Desktop SUSE Linux Enterprise Module for Basesystem SUSE Linux Enterprise Module for Package Hub SUSE Linux Enterprise Workstation Extension OpenSUSE Leap UBLinux Gstreamer ОСОН ОСнова Оnyx
Версия ПО:	- (Windows) 8 (Red Hat Enterprise Linux) - (openSUSE Tumbleweed) 11 (Debian GNU/Linux) 12 (Debian GNU/Linux) 7.3 (РЕД ОС) 15 SP4 (SUSE Linux Enterprise Server for SAP Applications) 4.3 (SUSE Manager Retail Branch Server) 4.3 (SUSE Manager Proxy) 4.3 (SUSE Manager Server) 5.3 (SUSE Linux Enterprise Micro) 8.2 Advanced Update Support (Red Hat Enterprise Linux) 15 SP5 (SUSE Linux Enterprise Server for SAP Applications) 5.4 (SUSE Linux Enterprise Micro) 8.4 Telecommunications Update Service (Red Hat Enterprise Linux) 8.4 Update Services for SAP Solutions (Red Hat Enterprise Linux) 8.4 Advanced Mission Critical Update Support (Red Hat Enterprise Linux) 5.5 (SUSE Linux Enterprise Micro) 9 (SUSE Liberty Linux) 8 (SUSE Liberty Linux) 15 SP4-ESPOS (SUSE Linux Enterprise High Performance Computing) 15 SP4-LTSS (SUSE Linux Enterprise High Performance Computing) 15 SP4-LTSS (Suse Linux Enterprise Server) 15 SP6 (Suse Linux Enterprise Desktop) 15 SP6 (Suse Linux Enterprise Server) 15 SP6 (SUSE Linux Enterprise Server for SAP Applications) 15 SP6 (SUSE Linux Enterprise High Performance Computing) 15 SP6 (SUSE Linux Enterprise Module for Basesystem) 15 SP6 (SUSE Linux Enterprise Module for Package Hub) 15 SP6 (SUSE Linux Enterprise Workstation Extension) 15.6 (OpenSUSE Leap) 8.6 Update Services for SAP Solutions (Red Hat Enterprise Linux) 8.6 Telecommunications Update Service (Red Hat Enterprise Linux) 8.6 Advanced Mission Critical Update Support (Red Hat Enterprise Linux) 7 Extended Lifecycle Support (Red Hat Enterprise Linux) 12 SP5-LTSS (Suse Linux Enterprise Server) 12 SP5 LTSS Extended Security (Suse Linux Enterprise Server) до 2405 (UBLinux) до 1.24.10 (Gstreamer) 15 SP5-LTSS (Suse Linux Enterprise Server) 15 SP5-LTSS (SUSE Linux Enterprise High Performance Computing) 15 SP5-ESPOS (SUSE Linux Enterprise High Performance Computing) до 2.12 (ОСОН ОСнова Оnyx) до 2.13 (ОСОН ОСнова Оnyx)
ОС и аппаратные платформы:	Windows (-) Red Hat Enterprise Linux (8) openSUSE Tumbleweed (-) Debian GNU/Linux (11) Debian GNU/Linux (12) РЕД ОС (7.3) SUSE Linux Enterprise Server for SAP Applications (15 SP4) Red Hat Enterprise Linux (8.2 Advanced Update Support) SUSE Linux Enterprise Server for SAP Applications (15 SP5) Red Hat Enterprise Linux (8.4 Telecommunications Update Service) Red Hat Enterprise Linux (8.4 Update Services for SAP Solutions) Red Hat Enterprise Linux (8.4 Advanced Mission Critical Update Support) SUSE Liberty Linux (9) SUSE Liberty Linux (8) Suse Linux Enterprise Server (15 SP4-LTSS) Suse Linux Enterprise Desktop (15 SP6) Suse Linux Enterprise Server (15 SP6) SUSE Linux Enterprise Server for SAP Applications (15 SP6) OpenSUSE Leap (15.6) Red Hat Enterprise Linux (8.6 Update Services for SAP Solutions) Red Hat Enterprise Linux (8.6 Telecommunications Update Service) Red Hat Enterprise Linux (8.6 Advanced Mission Critical Update Support) Red Hat Enterprise Linux (7 Extended Lifecycle Support) Suse Linux Enterprise Server (12 SP5-LTSS) Suse Linux Enterprise Server (12 SP5 LTSS Extended Security) UBLinux (до 2405) Suse Linux Enterprise Server (15 SP5-LTSS) ОСОН ОСнова Оnyx (до 2.12) ОСОН ОСнова Оnyx (до 2.13)
Ссылки на источники:	https://redos.red-soft.ru/support/secure/ https://gitlab.freedesktop.org/Gstreamer/Gstreamer/-/merge_requests/8032.patch https://security-tracker.debian.org/tracker/CVE-2024-47606 https://access.redhat.com/security/cve/cve-2024-47606 https://www.suse.com/security/cve/CVE-2024-47606.html https://security.ublinux.ru/CVE-2024-47606 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.12/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.13/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2025-00871