gstreamer1-plugins-good-1.4.5-3.el7

エラータID: AXSA:2017-1224:01

リリース日: 
2017/01/06 Friday - 11:47
題名: 
gstreamer1-plugins-good-1.4.5-3.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- GStreamer の gst/flx/gstflxdec.c の flx_decode_chunks 関数には,巧妙
に細工された FLIC ファイルによって,リモートの攻撃者がサービス拒否 (不正な
メモリ読み込みとクラッシュ) を引き起こす脆弱性があります。(CVE-2016-9807)

- GStreamer の FLIC デコーダには,巧妙に細工されたスキップとカウントの
対の連続によって,リモートの攻撃者がサービス拒否 (境界外への書き込みとクラッ
シュ) を引き起こす脆弱性があります。(CVE-2016-9808)

- GStreamer の FLIC デコーダの gst/flx/gstflxdec.c の
flx_decode_delta_fli 関数には,ヒープベースのバッファーオーバーフロー
が存在し,start_line パラメータによって,リモートの攻撃者が任意のコード
を実行する,あるいはサービス拒否 (アプリケーションのクラッシュ) を引き起
こす脆弱性があります。(CVE-2016-9634)

- GStreamer の FLIC デコーダの gst/flx/gstflxdec.c の
flx_decode_delta_fli 関数には,初期化されたバッファを越えた「スキップ
カウント」をリモートの攻撃者が任意のコードを実行する,あるいはサービス
拒否 (アプリケーションのクラッシュ) を引き起こす脆弱性があります。
(CVE-2016-9635)

- GStreamer の FLIC デコーダの gst/flx/gstflxdec.c にはヒープベースの
バッファーオーバーフローが存在し,初期化されたバッファを越える 「書き込み
カウント」を与えることによって,リモートの攻撃者が任意のコードを実行する,
あるいはサービス拒否 (アプリケーションのクラッシュ) を引き起こす脆弱性が
あります。(CVE-2016-9636)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2016-9634
Heap-based buffer overflow in the flx_decode_delta_fli function in gst/flx/gstflxdec.c in the FLIC decoder in GStreamer before 1.10.2 allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via the start_line parameter.
CVE-2016-9635
Heap-based buffer overflow in the flx_decode_delta_fli function in gst/flx/gstflxdec.c in the FLIC decoder in GStreamer before 1.10.2 allows remote attackers to execute arbitrary code or cause a denial of service (application crash) by providing a 'skip count' that goes beyond initialized buffer.
CVE-2016-9636
Heap-based buffer overflow in the flx_decode_delta_fli function in gst/flx/gstflxdec.c in the FLIC decoder in GStreamer before 1.10.2 allows remote attackers to execute arbitrary code or cause a denial of service (application crash) by providing a 'write count' that goes beyond the initialized buffer.
CVE-2016-9807
The flx_decode_chunks function in gst/flx/gstflxdec.c in GStreamer before 1.10.2 allows remote attackers to cause a denial of service (invalid memory read and crash) via a crafted FLIC file.
CVE-2016-9808
The FLIC decoder in GStreamer before 1.10.2 allows remote attackers to cause a denial of service (out-of-bounds write and crash) via a crafted series of skip and count pairs.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. gstreamer1-plugins-good-1.4.5-3.el7.src.rpm
    MD5: 4585640383c62f97071d6645b4963b9c
    SHA-256: 6c3141e718a32b2ccaf058b3834948f6bee1686a759cb78da9b06022c9fa1d1c
    Size: 2.91 MB

Asianux Server 7 for x86_64
  1. gstreamer1-plugins-good-1.4.5-3.el7.x86_64.rpm
    MD5: 1d84b8a93ccdd572baf0fa8a2f3298d4
    SHA-256: b8df0d89f37154d7283ed657a91116e1c9424599cdbf99c5154a1f27bcb8b73c
    Size: 1.79 MB
  2. gstreamer1-plugins-good-1.4.5-3.el7.i686.rpm
    MD5: 699677a65425d18cbbb4d872111e9bb3
    SHA-256: 56bf13e32f0047c8782d9e724fca8b694ec12d75feceef48decb7c1262884e2b
    Size: 1.79 MB