Subject: [ASA-201702-3] gst-plugins-good: отказ в обслуживании

Рекомендация по безопасности UBLinux ASA-201702-3
=================================================

Уровень  : Низкий
Дата     : 2017-02-03
CVE-ID   : CVE-2016-10198 CVE-2016-10199 CVE-2017-5840 CVE-2017-5841
          CVE-2017-5845 
Пакет    : gst-plugins-good
Тип      : отказ в обслуживании
Удалённо : Да
Ссылка   : https://security.ublinux.ru/AVG-13

Сводка
=======

Пакет gst-plugins-good до версии 1.10.3-1 имеет уязвимость отказ в
обслуживании.

Решение
==========

Обновление до версии 1.10.3-1.

# pacman -Syu "gst-plugins-good>=1.10.3-1"

Проблема(ы) была устранена в апстриме в версии 1.10.3.

Путь для обхода
==========

Нет.

Описание
===========

- CVE-2016-10198 (отказ в обслуживании)

Недопустимая ошибка чтения памяти была обнаружена в gstreamer до
1.10.3, в gst_aac_parse_sink_setcaps.

- CVE-2016-10199 (отказ в обслуживании)

Чтение вне пределов было обнаружено в gstreamer до 1.10.3, в
qtdemux_tag_add_str_full.

- CVE-2017-5840 (отказ в обслуживании)

Чтение вне пределов было обнаружено в gstreamer до 1.10.3, в
qtdemux_parse_samples.

- CVE-2017-5841 (отказ в обслуживании)

Чтение вне пределов было обнаружено в gstreamer до 1.10.3, в
gst_avi_demux_parse_ncdt.

- CVE-2017-5845 (отказ в обслуживании)

Чтение вне пределов было обнаружено в gstreamer до 1.10.3, в
gst_avi_demux_parse_ncdt.

Влияние
======

Удаленный злоумышленник может вывести gstreamer из строя через
созданный файл.

Рекомендации
==========

http://seclists.org/oss-sec/2017/q1/284
https://bugzilla.gnome.org/show_bug.cgi?id=775450
https://bugzilla.gnome.org/show_bug.cgi?id=775451
https://bugzilla.gnome.org/show_bug.cgi?id=777469
https://bugzilla.gnome.org/show_bug.cgi?id=777500
https://bugzilla.gnome.org/show_bug.cgi?id=777532
https://security.ublinux.ru/CVE-2016-10198
https://security.ublinux.ru/CVE-2016-10199
https://security.ublinux.ru/CVE-2017-5840
https://security.ublinux.ru/CVE-2017-5841
https://security.ublinux.ru/CVE-2017-5845