ГлавнаяБаза уязвимостей БДУ → BDU:2023-08260
10критическая

BDU:2023-08260 (CVE-2023-44429)

Уязвимость парсера AV1 Codec анализа субтитров subparse мультимедийного фреймворка Gstreamer, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-11-30
Описание

Уязвимость парсера AV1 Codec анализа субтитров subparse мультимедийного фреймворка Gstreamer связана с переполнением буфера на основе кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Linux Enterprise Module for Basesystem (15 SP4)SUSE Linux Enterprise Module for Desktop Applications (15 SP4)Astra Linux Special Edition (4.7)SUSE Linux Enterprise Module for Package Hub (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Basesystem (15 SP5)SUSE Linux Enterprise Module for Desktop Applications (15 SP5)SUSE Linux Enterprise Module for Package Hub (15 SP5)Gstreamer (до 1.22.7)ОСОН ОСнова Оnyx (до 2.9)ОС Аврора (до 5.1.5 включительно)
Способ устранения

Использование рекомендаций:

Для GStreamer:
https://gstreamer.freedesktop.org/security/sa-2023-0009.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-44429

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-44429.html

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения gst-plugins-bad1.0 до версии 1.18.4-3+deb11u3.osnova1

Для ОС Astra Linux Special Edition 1.7:
обновить пакет gst-plugins-bad1.0 до 1.18.4-1astra3.1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет gst-plugins-bad1.0 до 1.18.4-1astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Аврора: https://cve.omp.ru/bb30515

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://www.zerodayinitiative.com/advisories/ZDI-23-1648/https://security-tracker.debian.org/tracker/CVE-2023-44429https://www.suse.com/security/cve/CVE-2023-44429.htmlhttps://gstreamer.freedesktop.org/security/sa-2023-0009.htmlhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47https://cve.omp.ru/bb30515
Проверьте безопасность своего сайта и почты → Полная проверка домена