公告ID(KYSA-202502-1011)
公告ID:KYSA-202502-1011
公告摘要:gstreamer1-plugins-good安全漏洞
等級:重要
發布日期:2025-02-11
詳細介紹
1.修復的漏洞
·CVE-2022-1920
描述:GStreamer是一套用于處理流媒體的框架。GStreamer 1.16.2版本存在安全漏洞,該漏洞源于gst_matroska_demux_add_wvpk_header 中的堆覆蓋,攻擊者可以利用該漏洞可以導致系統崩潰。
·CVE-2022-1921
描述:GStreamer是一套用于處理流媒體的框架。GStreamer 1.16.2版本存在安全漏洞,該漏洞源于gst_avi_demux_invert 函數中的 avidemux 元素中的整數溢出,該函數允許在解析 avi 文件時進行堆覆蓋,攻擊者可以利用該漏洞可以執行任意代碼。
·CVE-2022-1922
描述:GStreamer是一套用于處理流媒體的框架。GStreamer 1.16.2版本存在安全漏洞,該漏洞源于gst_matroska_decompress_data 函數中 matroskademux 元素中的整數溢出,這會導致段錯誤,攻擊者可以利用該漏洞可以導致系統崩潰。
·CVE-2022-1923
描述:GStreamer是一套用于處理流媒體的框架。GStreamer 1.16.2版本存在安全漏洞,該漏洞源于zlib 解碼gst_matroska_decompress_data 編碼數據時整數溢出,攻擊者可以利用該漏洞可以導致系統崩潰。
·CVE-2022-1924
描述:GStreamer是一套用于處理流媒體的框架。GStreamer 1.16.2版本存在安全漏洞,該漏洞源于zlib 解碼gst_matroska_decompress_data 編碼數據時整數溢出,攻擊者可以利用該漏洞可以導致系統崩潰。
·CVE-2022-1925
描述:GStreamer是一套用于處理流媒體的框架。GStreamer 1.16.2版本存在安全漏洞,該漏洞源于gst_matroska_decompress_data 函數中 matroskaparse 元素中的整數溢出,導致堆溢出,攻擊者可以利用該漏洞可以導致系統崩潰。
·CVE-2022-2122
描述:Intel Data Center Manager是美國英特爾(Intel)公司的一種軟件解決方案。可收集和分析數據中心內各種設備的實時運行狀況、功率和熱量,幫助提高效率和正常運行時間。Intel Data Center Manager software 4.1之前版本存在安全漏洞,該漏洞源于訪問控制不當,可能會使經過認證的用戶通過相鄰訪問實現權限升級。
·CVE-2024-47537
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer存在輸入驗證錯誤漏洞,該漏洞源于當samples_count足夠大時,則可能導致加法過程中出現整數溢出。
·CVE-2024-47539
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer 1.24.10之前版本存在緩沖區錯誤漏洞,該漏洞源于在isomp4/qtdemux.c中的convert_to_s334_1a函數中發現了越界寫入漏洞。
·CVE-2024-47540
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer存在安全漏洞,該漏洞源于在matroska-demux.c中的gst_matroska_demux_add_wvpk_header函數中發現了一個未初始化堆棧變量漏洞。
·CVE-2024-47543
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer 1.24.10之前版本存在緩沖區錯誤漏洞,該漏洞源于在qtdemux.c中的qtdemux_parse_container函數中發現了越界讀取漏洞。
·CVE-2024-47544
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer 1.24.10之前版本存在代碼問題漏洞,該漏洞源于在qtdemux.c中的qtdemux_parse_sbgp函數受到空引用漏洞的影響。
·CVE-2024-47545
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer 1.24.10之前版本存在數字錯誤漏洞,該漏洞源于在qtdemux.c中的qtdemux_parse_trak函數中檢測到整數下溢。
·CVE-2024-47546
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer 1.24.10之前版本存在數字錯誤漏洞,該漏洞源于在qtdemux.c中的extract_cc_from_data函數中檢測到整數下溢。
·CVE-2024-47596
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer 1.24.10之前版本存在緩沖區錯誤漏洞,該漏洞源于在qtdemux.c中的qtdemux_parse_svq3_stsd_data函數中發現了越界讀取。
·CVE-2024-47597
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer 1.24.10之前版本存在緩沖區錯誤漏洞,該漏洞源于在qtdemux.c中的qtdemux_parse_samples函數中檢測到越界讀取。
·CVE-2024-47599
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer存在代碼問題漏洞,該漏洞源于在gstjpegdec.c中的gst_jpeg_dec_negotiate函數中發現空指針取消引用漏洞。
·CVE-2024-47601
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer存在代碼問題漏洞,該漏洞源于在matroska-demux.c中的gst_matroska_demux_parse_blockgroup_or_simpleblock函數中發現了一個空指針取消引用漏洞。
·CVE-2024-47602
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer存在代碼問題漏洞,該漏洞源于在matroska-demux.c中的gst_matroska_demux_add_wvpk_header函數中發現了一個空指針取消引用漏洞。
·CVE-2024-47603
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer存在代碼問題漏洞,該漏洞源于在matroska-demux.c中的gst_matroska_demux_update_tracks函數中發現了一個空指針取消引用漏洞。
·CVE-2024-47606
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer存在輸入驗證錯誤漏洞,該漏洞源于在qtdemux.c中的qtdemux_parse_theora_extension函數中檢測到整數下溢。
·CVE-2024-47613
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer存在緩沖區錯誤漏洞,該漏洞源于在gstvorbisdec.c中的vorbis_handle_identification_packet函數中檢測到堆棧緩沖區溢出。
·CVE-2024-47774
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer 1.24.10之前版本存在緩沖區錯誤漏洞,該漏洞源于直接從輸入文件中讀取name_length值,而沒有對其進行正確檢查,從而導致整數溢出。
·CVE-2024-47775
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer存在緩沖區錯誤漏洞,該漏洞源于在gstwavparse.c中的parse_ds64函數中發現越界讀取漏洞。
·CVE-2024-47776
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer存在緩沖區錯誤漏洞,該漏洞源于在gstwavparse.c中的gst_wavparse_cue_chunk中發現越界讀取漏洞。
·CVE-2024-47777
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer存在緩沖區錯誤漏洞,該漏洞源于在gstwavparse.c中的gst_wavparse_smpl_chunk函數中發現越界讀取漏洞。
·CVE-2024-47778
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer存在緩沖區錯誤漏洞,該漏洞源于在gstwavparse.c中的gst_wavparse_adtl_chunk中發現越界讀取漏洞。
·CVE-2024-47834
描述:GStreamer是GStreamer開源的一套用于處理流媒體的框架。
GStreamer存在資源管理錯誤漏洞,該漏洞源于在某些情況下可能導致釋放后重用。
2.受影響的軟件包
·銀河麒麟高級服務器操作系統 V10 HPC
·aarch64架構:
gstreamer1-plugins-good-gtk、gstreamer1-plugins-good、gstreamer1-plugins-good-help
·x86_64架構:
gstreamer1-plugins-good-gtk、gstreamer1-plugins-good、gstreamer1-plugins-good-help
·銀河麒麟云底座操作系統 V10
·aarch64架構:
gstreamer1-plugins-good-gtk、gstreamer1-plugins-good、gstreamer1-plugins-good-help
·x86_64架構:
gstreamer1-plugins-good-gtk、gstreamer1-plugins-good、gstreamer1-plugins-good-help
3.軟件包修復版本
·銀河麒麟高級服務器操作系統 V10 HPC (aarch64、x86_64)
gstreamer1-plugins-good-1.16.2-8.ky10h或以上版本
gstreamer1-plugins-good-help-1.16.2-8.ky10h或以上版本
gstreamer1-plugins-good-gtk-1.16.2-8.ky10h或以上版本
·銀河麒麟云底座操作系統 V10 (aarch64、x86_64)
gstreamer1-plugins-good-1.16.2-8.ky10h或以上版本
gstreamer1-plugins-good-help-1.16.2-8.ky10h或以上版本
gstreamer1-plugins-good-gtk-1.16.2-8.ky10h或以上版本
4.修復方法
方法一:配置源進行升級安裝
1.打開軟件包源配置文件,根據倉庫地址進行修改。
倉庫源地址:
銀河麒麟高級服務器操作系統 V10 HPC
aarch64:https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/x86_64/
銀河麒麟云底座操作系統 V10
aarch64:https://update.cs2c.com.cn/NS/HOST/2309/os/adv/lic/updates/aarch64/
x86_64:https://update.cs2c.com.cn/NS/HOST/2309/os/adv/lic/updates/x86_64/
2.配置完成后執行更新命令進行升級,命令如下:
yum update Packagename
方法二:下載安裝包進行升級安裝
通過軟件包地址下載軟件包,使用軟件包升級命令根據受影響的軟件包
列表進行升級安裝, 命令如下:
yum install Packagename
3.升級完成后是否需要重啟服務或操作系統:
CVE-2022-1920:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2022-1921:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2022-1922:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2022-1923:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2022-1924:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2022-1925:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2022-2122:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47537:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47539:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47540:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47543:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47544:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47545:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47546:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47596:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47597:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47599:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47601:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47602:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47603:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47606:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47613:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47774:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47775:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47776:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47777:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47778:無需重啟操作系統與服務即可使漏洞修復生效。
CVE-2024-47834:無需重啟操作系統與服務即可使漏洞修復生效。
5.軟件包下載地址
·銀河麒麟高級服務器操作系統 V10 HPC
gstreamer1-plugins-good(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/aarch64/Packages/gstreamer1-plugins-good-help-1.16.2-8.ky10h.noarch.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/aarch64/Packages/gstreamer1-plugins-good-gtk-1.16.2-8.ky10h.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/aarch64/Packages/gstreamer1-plugins-good-1.16.2-8.ky10h.aarch64.rpm
gstreamer1-plugins-good(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/x86_64/Packages/gstreamer1-plugins-good-gtk-1.16.2-8.ky10h.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/x86_64/Packages/gstreamer1-plugins-good-help-1.16.2-8.ky10h.noarch.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/x86_64/Packages/gstreamer1-plugins-good-1.16.2-8.ky10h.x86_64.rpm
·銀河麒麟云底座操作系統 V10
gstreamer1-plugins-good(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/HOST/2309/os/adv/lic/updates/aarch64/Packages/gstreamer1-plugins-good-1.16.2-8.ky10h.aarch64.rpm
https://update.cs2c.com.cn/NS/HOST/2309/os/adv/lic/updates/aarch64/Packages/gstreamer1-plugins-good-gtk-1.16.2-8.ky10h.aarch64.rpm
https://update.cs2c.com.cn/NS/HOST/2309/os/adv/lic/updates/aarch64/Packages/gstreamer1-plugins-good-help-1.16.2-8.ky10h.noarch.rpm
gstreamer1-plugins-good(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/HOST/2309/os/adv/lic/updates/x86_64/Packages/gstreamer1-plugins-good-help-1.16.2-8.ky10h.noarch.rpm
https://update.cs2c.com.cn/NS/HOST/2309/os/adv/lic/updates/x86_64/Packages/gstreamer1-plugins-good-1.16.2-8.ky10h.x86_64.rpm
https://update.cs2c.com.cn/NS/HOST/2309/os/adv/lic/updates/x86_64/Packages/gstreamer1-plugins-good-gtk-1.16.2-8.ky10h.x86_64.rpm
注:其他相關依賴包請到相同目錄下載
6.修復驗證
使用軟件包查詢命令,查看相關軟件包版本是否與修復版本一致,如果版本一致,則說明修復成功。
sudo rpm -qa | grep Packagename