一、 漏洞 CVE-2024-47596 基础信息
漏洞标题
GStreamer在FOURCC_SMI_解析中存在越界读取漏洞
来源:AIGC 神龙大模型
漏洞描述信息
GStreamer 是一个用于构建媒体处理组件图的库。在 qtdemux.c 文件中的 qtdemux_parse_svq3_stsd_data 函数中发现了存在一个越界读取(OOB-read)漏洞。在 FOURCC_SMI_ 情况下,从输入文件中读取 seqh_size 值时没有进行适当的验证。如果 seqh_size 值大于数据缓冲区的剩余大小,则会在后续调用 gst_buffer_fill 函数时导致越界读取,该函数内部使用 memcpy。此漏洞可能导致读取多达 4GB 的进程内存,或者在访问无效内存时引发段错误(SEGV)。此漏洞在 1.24.10 版本中已修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
跨界内存读
来源:AIGC 神龙大模型
漏洞标题
GHSL-2024-244: GStreamer has an OOB-read in FOURCC_SMI_ parsing
来源:美国国家漏洞数据库 NVD
漏洞描述信息
GStreamer is a library for constructing graphs of media-handling components. An OOB-read has been discovered in the qtdemux_parse_svq3_stsd_data function within qtdemux.c. In the FOURCC_SMI_ case, seqh_size is read from the input file without proper validation. If seqh_size is greater than the remaining size of the data buffer, it can lead to an OOB-read in the following call to gst_buffer_fill, which internally uses memcpy. This vulnerability can result in reading up to 4GB of process memory or potentially causing a segmentation fault (SEGV) when accessing invalid memory. This vulnerability is fixed in 1.24.10.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
跨界内存读
来源:美国国家漏洞数据库 NVD
漏洞标题
GStreamer 缓冲区错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
GStreamer是GStreamer开源的一套用于处理流媒体的框架。 GStreamer 1.24.10之前版本存在缓冲区错误漏洞,该漏洞源于在qtdemux.c中的qtdemux_parse_svq3_stsd_data函数中发现了越界读取。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
缓冲区错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-47596 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-47596 的情报信息