阿里云漏洞库

漏洞描述

在处理某些MXF视频文件时，在GStreamer中的MXF解复用器中发现了一个先用后用缺陷。此问题可能允许恶意第三方触发应用程序崩溃，并可能允许执行代码。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-44446
https://gstreamer.freedesktop.org/security/sa-2023-0010.html
https://linux.oracle.com/cve/CVE-2023-44446.html
https://www.zerodayinitiative.com/advisories/ZDI-23-1647/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	gstreamer-plugins-bad-free	*		Up to (excluding) 0.10.23-24.1.al7
	运行在以下环境
	系统	alibaba_cloud_linux_3	gstreamer1-plugins-bad-free	*		Up to (excluding) 1.18.4-7.0.1.al8
	运行在以下环境
	系统	alma_linux_8	gstreamer1-plugins-bad-free	*		Up to (excluding) 1.16.1-2.el8_9.alma.1
	运行在以下环境
	系统	alma_linux_9	gstreamer1-plugins-bad-free	*		Up to (excluding) 1.22.1-2.el9_3
	运行在以下环境
	系统	alpine_3.18	gst-plugins-bad	*		Up to (excluding) 1.22.7-r0
	运行在以下环境
	系统	alpine_3.19	gst-plugins-bad	*		Up to (excluding) 1.22.7-r0
	运行在以下环境
	系统	amazon_2	gstreamer1-plugins-bad-free	*		Up to (excluding) 1.18.4-5.amzn2.0.3
	运行在以下环境
	系统	anolis_os_23	gstreamer1-plugins-bad-free	*		Up to (excluding) 1.22.6-2
	运行在以下环境
	系统	anolis_os_8	gstreamer1-plugins-bad-free	*		Up to (excluding) 1.18.4-7.0.1
	运行在以下环境
	系统	centos_7	gstreamer-plugins-bad-free	*		Up to (excluding) 0.10.23-24.el7_9
	运行在以下环境
	系统	debian_10	gst-plugins-bad1.0	*		Up to (excluding) 1.14.4-1+deb10u5
	运行在以下环境
	系统	debian_11	gst-plugins-bad1.0	*		Up to (excluding) 1.18.4-3+deb11u3
	运行在以下环境
	系统	debian_12	gst-plugins-bad1.0	*		Up to (excluding) 1.22.0-4+deb12u3
	运行在以下环境
	系统	fedora_39	gstreamer1-plugin-libav	*		Up to (excluding) 1.22.7-1.fc39
	运行在以下环境
	系统	kylinos_aarch64_V10	gstreamer-plugins-bad-free	*		Up to (excluding) 0.10.23-24.el7_9
	运行在以下环境
	系统	kylinos_x86_64_V10	gstreamer-plugins-bad-free	*		Up to (excluding) 0.10.23-24.el7_9
	运行在以下环境
	系统	oracle_7	gstreamer-plugins-bad-free	*		Up to (excluding) 0.10.23-24.el7_9
	运行在以下环境
	系统	oracle_8	gstreamer1-plugins-bad-free	*		Up to (excluding) 1.16.1-2.el8_9
	运行在以下环境
	系统	oracle_9	gstreamer1-plugins-bad-free	*		Up to (excluding) 1.22.1-2.el9_3
	运行在以下环境
	系统	redhat_7	gstreamer-plugins-bad-free	*		Up to (excluding) 0.10.23-24.el7_9
	运行在以下环境
	系统	redhat_8	gstreamer1-plugins-bad-free	*		Up to (excluding) 1.16.1-2.el8_9
	运行在以下环境
	系统	redhat_9	gstreamer1-plugins-bad-free	*		Up to (excluding) 1.22.1-2.el9_3
	运行在以下环境
	系统	rocky_linux_8	gstreamer1-plugins-bad-free	*		Up to (excluding) 1.16.1-2.el8_9
	运行在以下环境
	系统	ubuntu_20.04	gst-plugins-bad1.0	*		Up to (excluding) 1.16.3-0ubuntu1.1
	运行在以下环境
	系统	ubuntu_22.04	gst-plugins-bad1.0	*		Up to (excluding) 1.20.3-0ubuntu1.1

攻击路径

远程
攻击复杂度

复杂
权限要求

普通权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型

中危 MXF 工具存在恶意代码执行漏洞 (CVE-2023-44446)

漏洞描述

解决建议

参考链接

受影响软件情况