MiracleLinux 7gstreamer1-plugins-base-1.10.4-2.0.2.el7.AXS7AXSA:2025-11109:02

high Nessus プラグイン ID 283181

Language:

概要

リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモートのMiracleLinux 7ホストには、AXSA:2025-11109:02アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

* CVE-2024-47538ポジション配列の境界を越える書き込みを制限することで、vorbis_handle_identification_packet 関数のスタックバッファオーバーフローを修正します CVE
CVE-2024-47538 GStreamer は、メディア処理コンポーネントのグラフを構築するためのライブラリです。「gstvorbisdec.c」内の「vorbis_handle_identification_packet」関数でスタックバッファオーバーフローが検出されました。位置配列は、スタックに割り当てられたサイズ 64 のバッファです。vd->vi.channels が 64 を超えると、for ループは位置配列の境界を超えて書き込みます。書き込まれる値は常に「GST_AUDIO_CHANNEL_POSITION_NONE」となります。この脆弱性により、スタックに割り当てられた EIP アドレスが上書きされる可能性があります。さらに、このバグは「GstAudioInfo」情報構造を上書きする可能性があります。この脆弱性は 1.24.10 で修正されています。
CVE-2024-47607 GStreamer は、メディア処理コンポーネントのグラフを構築するためのライブラリです。「gstopusdec.c」内の gst_opus_dec_parse_header 関数にスタックバッファオーバーフローが検出されました。pos 配列は、スタックに割り当てられたサイズ 64 のバッファです。n_channels が 64 を超えると、for ループは pos 配列の境界を超えて書き込みます。書き込まれる値は常に GST_AUDIO_CHANNEL_POSITION_NONE となります。このバグにより、スタックに割り当てられた EIP アドレスが上書きされる可能性があります。この脆弱性は 1.24.10 で修正されています。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける gstreamer1-plugins-base や gstreamer1-plugins-base-devel パッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/22293

プラグインの詳細

深刻度: High

ID: 283181

ファイル名: miracle_linux_AXSA-2025-11109.nasl

バージョン: 1.1

タイプ: local

ファミリー: Miracle Linux Local Security Checks

公開日: 2026/1/13

更新日: 2026/1/13

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-47607

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: High

Base Score: 8.6

Threat Score: 6.1

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

脆弱性情報

CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:gstreamer1-plugins-base, p-cpe:/a:miracle:linux:gstreamer1-plugins-base-devel

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/11/26

脆弱性公開日: 2024/12/6

参照情報

CVE: CVE-2024-47538, CVE-2024-47607