检测

iracleLinux 7GStreamer 安全、缺陷补丁和增强更新 (AXSA:2017-2179:01)

critical Nessus 插件 ID 290002

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 7 主机上存在安装的程序包该程序包受到 AXSA:2017-2179:01 公告中提及的多个漏洞的影响。

 clutter-gst2 Clutter 是一个开源软件库用于创建快速、视觉效果丰富的动画图形用户界面。
 Clutter GStreamer 支持将 GStreamer 与 Clutter 配合使用。
 gnome-video-effects 要在不同 GNOME 模块中使用的 GStreamer 效果的集合。
 gstreamer1 GStreamer 是一个对媒体数据进行操作的过滤器图形的流媒体框架。使用此库的应用程序可以执行从实时声音处理到播放视频的任何操作以及几乎任何其他与媒体相关的操作。其基于插件的架构这意味着只需通过安装新的插件来添加新的数据类型或处理功能。
 gstreamer1-plugins-bad-free GStreamer 是一种流媒体框架基于可对媒体数据进行操作的元素图形。
 此程序包包含一些未经测试足够的插件或者代码质量不够。
 gstreamer1-plugins-base GStreamer 是一个流媒体框架基于可在媒体数据上操作的过滤器图表。使用此库的应用程序可以执行从实时声音处理到播放视频的任何操作以及几乎任何其他与媒体相关的操作。其基于插件的架构意味着只需安装新的插件即可添加新的数据类型或处理功能。
 此程序包包含一组维护良好的基础插件。
 gstreamer1-plugins-good GStreamer 是一种流媒体框架基于可对媒体数据进行操作的过滤器图形。使用此库的应用程序可以执行从实时声音处理到播放视频的任何操作以及几乎任何其他与媒体相关的操作。其基于插件的架构这意味着只需通过安装新的插件来添加新的数据类型或处理功能。
 GStreamer Good Plugins 是一个遵循 LGPL 授权的、质量上乘、受良好支持的插件的集合。
 gstreamer-plugins-bad-free GStreamer 是一种流媒体框架基于可对媒体数据进行操作的元素图形。
 此程序包包含一些未经测试足够的插件或者代码质量不够。
 gstreamer-plugins-good GStreamer 是一种流媒体框架基于可在媒体数据上操作的过滤器图形。使用此库的应用程序可以执行从实时声音处理到播放视频的任何操作以及几乎任何其他与媒体相关的操作。其基于插件的架构意味着只需安装新的插件即可添加新的数据类型或处理功能。
 GStreamer Good Plug-ins 是一个遵循 LGPL 授权的、质量上乘且受良好支持的插件合集。
 orc Orc 是一个库及工具集用于编译和执行操作数据数组的非常简单的程序。该语言是可代表 SIMD 架构中许多可用功能的通用汇编语言,包括饱和的加法和减法,以及许多算术运算。
 CVE-2016-1019 Adobe Flash Player 21.0.0.197 和更早版本允许远程攻击者通过不明矢量造成拒绝服务应用程序崩溃或可能执行任意代码2016 年 4 月已在通常环境中被利用。
 CVE-2016-9446 gstreamer 中的 vmnc 解码器未初始化渲染画布这允许远程攻击者获取敏感信息这一点已由未绘制到分配的渲染画布的简单 1 帧 vmnc 电影的缩略图证实。
 CVE-2016-9810 在低于 1.10.2 的 GStreamer 中gst-plugins-good 的 flxdex 解码器中的 gst_decode_chain_free_internal 函数允许远程攻击者通过无效文件造成拒绝服务无效内存读取和崩溃触发错误的 unref 调用。
 CVE-2016-9811 当 G_SLICE 设置为 always-malloc 时低于 1.10.2的 GStreamer 中gst-plugins-base 中的 windows_icon_typefind 函数可允许远程攻击者通过特制的 ico 文件造成拒绝服务越界读取。
 CVE-2017-5837 低于 1.10.3 的 GStreamer 中 gst-plugins-base 中 gst-libs/gst/riff/riff-media.c 的 gst_riff_create_audio_caps 函数允许远程攻击者通过构建的视频造成拒绝服务浮点异常和崩溃。文件。
 CVE-2017-58381.10.3 之前的 GStreamer 中 gst/gstdatetime.c 中的 gst_date_time_new_from_iso8601_string 函数允许远程攻击者通过畸形日期时间字符串造成拒绝服务越界堆读取。
 CVE-2017-58391.10.3 之前版本的 GStreamer 中 gst-plugins-base 中 gst-libs/gst/riff/riff-media.c 的 gst_riff_create_audio_caps 函数未正确限制递归这允许远程攻击者造成拒绝服务堆栈溢出和崩溃通过涉及嵌套 WAVEFORMATEX 的向量触发。
 CVE-2017-5840 低于 1.10.3 的 GStreamer 中gst-plugins-good 内 gst/isomp4/qtdemux.c 内的 qtdemux_parse_samples 函数允许远程攻击者通过涉及当前 stts 索引的向量造成拒绝服务越界堆读取。
 CVE-2017-5841 在 1.10.3 之前的 GStreamer 中gst-plugins-good 内 gst/avi/gstavidemux.c 内的 gst_avi_demux_parse_ncdt 函数允许远程攻击者通过涉及 ncdt 标记的矢量造成拒绝服务越界堆读取。
 CVE-2017-5842 在低于 1.10.3 的GStreamer 中gst-plugins-base 中 gst/subparse/samiparse.c 内的 html_context_handle_element 函数允许远程攻击者通过构建的 SMI 文件造成拒绝服务越界写入OneNote_Manager.smi。
 CVE-2017-5843 在 1.10.3 之前版本的 GStreamer 中(1) gst_mini_object_unref、(2) gst_tag_list_unref 和 (3) gst_mxf_demux_update_essence_tracks 函数中存在多种释放后使用漏洞允许远程攻击者通过涉及流标签的矢量造成拒绝服务崩溃。已由 02785736.mxf 证实。
 CVE-2017-5844 低于 1.10.3 的 GStreamer 中 gst-plugins-base 中 gst-libs/gst/riff/riff-media.c 的 gst_riff_create_audio_caps 函数允许远程攻击者通过构建的 ASF 造成拒绝服务浮点异常和崩溃。文件。
 CVE-2017-5845 低于 1.10.3 的 GStreamer 中 gst-plugins-good 内 gst/avi/gstavidemux.c 的 gst_avi_demux_parse_ncdt 函数允许远程攻击者通过周围的 标签。
 CVE-2017-5848 在 GStreamer 中gst-plugins-bad 内 gst/mpegdemux/gstmpegdemux.c 中的 gst_ps_demux_parse_psm 函数允许远程攻击者通过涉及 PSM 解析的向量造成拒绝服务无效内存读取和崩溃。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/8619

插件详情

严重性: Critical

ID: 290002

文件名: miracle_linux_AXSA-2017-2179.nasl

版本: 1.3

类型: Local

发布时间: 2026/1/16

最近更新时间: 2026/1/19

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.4

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2016-1019

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 9.4

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:H/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:miracle:linux:gstreamer1-plugins-good, p-cpe:/a:miracle:linux:gstreamer1, p-cpe:/a:miracle:linux:gstreamer1-plugins-bad-free, p-cpe:/a:miracle:linux:gstreamer-plugins-bad-free, p-cpe:/a:miracle:linux:gstreamer-plugins-good, p-cpe:/a:miracle:linux:orc, p-cpe:/a:miracle:linux:gnome-video-effects, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:gstreamer1-plugins-base, p-cpe:/a:miracle:linux:gstreamer1-plugins-base-devel, p-cpe:/a:miracle:linux:gstreamer1-devel, p-cpe:/a:miracle:linux:clutter-gst2-devel, p-cpe:/a:miracle:linux:clutter-gst2

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2017/9/13

漏洞发布日期: 2016/4/5

CISA 已知可遭利用的漏洞到期日期: 2022/3/24

参考资料信息

CVE: CVE-2016-1019, CVE-2016-9446, CVE-2016-9810, CVE-2016-9811, CVE-2017-5837, CVE-2017-5838, CVE-2017-5839, CVE-2017-5840, CVE-2017-5841, CVE-2017-5842, CVE-2017-5843, CVE-2017-5844, CVE-2017-5845, CVE-2017-5848

IAVA: 2016-A-0087-S