Vulnerabilidad en mpg123 (CVE-2024-10573)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
31/10/2024
Última modificación:
18/12/2024
Descripción
Se encontró un fallo de escritura fuera de los límites en mpg123 al manejar transmisiones creadas. Al decodificar PCM, libmpg123 puede escribir más allá del final de un búfer ubicado en el almacenamiento dinámico. En consecuencia, puede ocurrir una corrupción del almacenamiento dinámico y no se descarta la ejecución de código arbitrario. La complejidad requerida para explotar este fallo se considera alta ya que el payload debe ser validado por el decodificador MPEG y el sintetizador PCM antes de la ejecución. Además, para ejecutar el ataque con éxito, el usuario debe escanear la transmisión, lo que hace que el contenido de transmisión en vivo web (como radios web) sea un vector de ataque muy poco probable.
Impacto
Puntuación base 3.x
6.70
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2024:11193
- https://access.redhat.com/errata/RHSA-2024:11242
- https://access.redhat.com/security/cve/CVE-2024-10573
- https://bugzilla.redhat.com/show_bug.cgi?id=2322980
- https://mpg123.org/cgi-bin/news.cgi#2024-10-26
- http://www.openwall.com/lists/oss-security/2024/10/30/3
- http://www.openwall.com/lists/oss-security/2024/10/31/4
- http://www.openwall.com/lists/oss-security/2024/11/01/1
- https://lists.debian.org/debian-lts-announce/2024/11/msg00025.html