阿里云漏洞库

漏洞描述

1.16.0之前的GStreamer通过来自服务器的精心设计的响应在RTSP连接解析器中具有基于堆的缓冲区溢出，这可能允许远程代码执行。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00078.html
http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00082.html
http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00049.html
https://gstreamer.freedesktop.org/security/
https://gstreamer.freedesktop.org/security/sa-2019-0001.html
https://lists.debian.org/debian-lts-announce/2019/04/msg00030.html
https://lists.debian.org/debian-lts-announce/2019/04/msg00031.html
https://seclists.org/bugtraq/2019/Apr/39
https://security.gentoo.org/glsa/202003-33
https://usn.ubuntu.com/3958-1/
https://www.debian.org/security/2019/dsa-4437

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	gstreamer_project	gstreamer	*		Up to (excluding) 1.16.0
	运行在以下环境
	系统	alpine_3.10	gst-plugins-base	*		Up to (excluding) 1.16.0-r0
	运行在以下环境
	系统	alpine_3.11	gst-plugins-base	*		Up to (excluding) 1.16.0-r0
	运行在以下环境
	系统	alpine_3.12	gst-plugins-base	*		Up to (excluding) 1.16.0-r0
	运行在以下环境
	系统	alpine_3.13	gst-plugins-base	*		Up to (excluding) 1.16.0-r0
	运行在以下环境
	系统	alpine_3.14	gst-plugins-base	*		Up to (excluding) 1.16.0-r0
	运行在以下环境
	系统	alpine_3.15	gst-plugins-base	*		Up to (excluding) 1.16.0-r0
	运行在以下环境
	系统	alpine_3.16	gst-plugins-base	*		Up to (excluding) 1.16.0-r0
	运行在以下环境
	系统	alpine_3.17	gst-plugins-base	*		Up to (excluding) 1.16.0-r0
	运行在以下环境
	系统	alpine_3.18	gst-plugins-base	*		Up to (excluding) 1.16.0-r0
	运行在以下环境
	系统	alpine_3.19	gst-plugins-base	*		Up to (excluding) 1.16.0-r0
	运行在以下环境
	系统	alpine_3.9	gst-plugins-base	*		Up to (excluding) 1.14.4-r1
	运行在以下环境
	系统	debian_10	gst-plugins-base1.0	*		Up to (excluding) 1.14.4-2
	运行在以下环境
	系统	debian_11	gst-plugins-base1.0	*		Up to (excluding) 1.14.4-2
	运行在以下环境
	系统	debian_12	gst-plugins-base1.0	*		Up to (excluding) 1.14.4-2
	运行在以下环境
	系统	opensuse_Leap_15.1	libgstsdp-1_0	*		Up to (excluding) 1.12.5-lp151.3.3.1
	运行在以下环境
	系统	opensuse_Leap_42.3	libgstsdp-1_0	*		Up to (excluding) 1.8.3-8.3.1
	运行在以下环境
	系统	suse_12_SP3	libgstrtp-1_0	*		Up to (excluding) 1.8.3-13.3.2
	运行在以下环境
	系统	suse_12_SP4	libgstrtp-1_0	*		Up to (excluding) 1.8.3-13.3.2
	运行在以下环境
	系统	ubuntu_16.04	gst-plugins-base1.0	*		Up to (excluding) 0.10.36-2ubuntu0.2
	运行在以下环境
	系统	ubuntu_18.04	gst-plugins-base1.0	*		Up to (excluding) 1.14.1-1ubuntu1~ubuntu18.04.2

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-787	跨界内存写

低危 GStreamer：RTSP connection parser中基于堆的缓冲区溢出，通过精心设计的服务器响应导致远程代码执行

漏洞描述

解决建议

参考链接

受影响软件情况