Vulnerabilidad en GStreamer (CVE-2019-9928)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
24/04/2019
Última modificación:
24/08/2020
Descripción
GStreamer anterior a la versión 1.16.0 presenta una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica (heap) en el parser de conexión RTSP mediante una respuesta de servidor especialmente diseñada, lo que permite potencialmente la ejecución remota de código.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gstreamer_project:gstreamer:*:*:*:*:*:*:*:* | 1.16.0 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.10:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00078.html
- http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00082.html
- http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00049.html
- https://gstreamer.freedesktop.org/security/
- https://gstreamer.freedesktop.org/security/sa-2019-0001.html
- https://lists.debian.org/debian-lts-announce/2019/04/msg00030.html
- https://lists.debian.org/debian-lts-announce/2019/04/msg00031.html
- https://seclists.org/bugtraq/2019/Apr/39
- https://security.gentoo.org/glsa/202003-33
- https://usn.ubuntu.com/3958-1/
- https://www.debian.org/security/2019/dsa-4437