偵測

MiracleLinux 7GStreamer 安全性、錯誤修正和增強功能更新 (AXSA:2017-2179:01)

critical Nessus Plugin ID 290002

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 7 主機已安裝受到多個弱點影響的套件如 AXSA:2017-2179:01 公告中所提及。

 clutter-gst2 Clutter 是一種開放原始碼軟體程式庫可建立快速、視覺效果豐富的動畫圖形使用者介面。
 Clutter GStreamer 可讓 GStreamer 與 Clutter 搭配使用。
 gnome-video-effects 用於不同 GNOME 模組的 GStreamer 效果集合。
 gstreamer1 GStreamer 是一種資料流媒體架構其以在媒體資料上運作的篩選器圖形為基礎。使用此程式庫的應用程式可以執行任何操作從即時音效處理到播放視訊以及其他任何與媒體相關的操作。其外掛程式型架構表示只要安裝新的外掛程式即可新增新的資料類型或處理功能。
 gstreamer1-plugins-bad-free GStreamer 是以在媒體資料上運作之元素的圖形為基礎的資料流媒體架構。
 此套件包含未經充分測試或程式碼品質不夠好的外掛程式。
 gstreamer1-plugins-base GStreamer 是一種串流媒體架構其依據是在媒體資料上運作的篩選器圖形。使用此程式庫的應用程式可以執行任何操作從即時音效處理到播放視訊以及其他任何與媒體相關的操作。其外掛程式型架構表示只要安裝新的外掛程式即可新增新的資料類型或處理功能。
 此套件包含一組維護良好的基礎外掛程式。
 gstreamer1-plugins-good GStreamer 是一種資料流媒體架構其依據是在媒體資料上運作的篩選器圖形。使用此程式庫的應用程式可以執行任何操作從即時音效處理到播放視訊以及其他任何與媒體相關的操作。其外掛程式型架構表示只要安裝新的外掛程式即可新增新的資料類型或處理功能。
 GStreamer Good Plugins 是一組受到良好支援的優質外掛程式其擁有 LGPL 授權。
 gstreamer-plugins-bad-free GStreamer 是以在媒體資料上運作之元素的圖形為基礎的資料流媒體架構。
 此套件包含未經充分測試或程式碼品質不夠好的外掛程式。
 gstreamer-plugins-good GStreamer 是一種串流媒體架構其以在媒體資料上運作的篩選器圖形為基礎。使用此程式庫的應用程式可以執行任何操作從即時音效處理到播放視訊以及其他任何與媒體相關的操作。其外掛程式型架構表示只要安裝新的外掛程式即可新增新的資料類型或處理功能。
 GStreamer Good 外掛程式是一組受到良好支援的優質外掛程式其擁有 LGPL 授權。
 orc Orc 是一個程式庫和一組工具用於編譯和執行在資料陣列上運作的非常簡單的程式。該語言是可代表 SIMD 架構中許多可用功能的泛型組件語言,包括飽和加法和減法,以及許多算術運算。
 CVE-2016-1019 Adobe Flash Player 21.0.0.197 和更舊版本允許遠端攻擊者透過不明向量造成拒絕服務 (應用程式損毀) 或可能執行任意程式碼2016 年 4 月在環境中遭到惡意利用即為一例。
 CVE-2016-9446 gstreamer 中的 vmnc 解碼器未初始化轉譯畫布其允許遠端攻擊者取得敏感資訊縮圖未繪製至配置的轉譯畫布的簡單 1 框架 vmnc 影片即為一例。
 CVE-2016-9810 在 1.10.2 之前的 GStreamer 中gst-plugins-good 之 flxdex 解碼器的 gst_decode_chain_free_internal 函式允許遠端攻擊者透過無效檔案造成拒絕服務 (無效記憶體讀取和損毀)進而觸發不正確的 unref 呼叫。
 CVE-2016-9811 在 1.10.2之前的 GStreamer 中gst-plugins-base 的 windows_icon_typefind 函式當 G_SLICE 設定為 always-malloc 時允許遠端攻擊者透過特製的 ico 檔案造成拒絕服務 (超出邊界讀取)。
 CVE-2017-5837 在 1.10.3 之前的 GStreamer 中gst-plugins-base 中 gst-libs/gst/iff/riff-media.c 的 gst_riff_create_audio_caps 函式允許遠端攻擊者透過特製的視訊造成拒絕服務 (浮點例外狀況和當機)檔案。
 CVE-2017-58381.10.3 在之前的 GStreamer 中gst/gstdatetime.c 的 gst_date_time_new_from_iso8601_string 函式允許遠端攻擊者透過格式錯誤的日期時間字串造成拒絕服務 (超出邊界堆積讀取)。
 CVE-2017-5839 在 1.10.3 之前的 GStreamer 中gst-plugins-base 中 gst-libs/gst/riff/riff-media.c 的 gst_riff_create_audio_caps 函式未正確限制遞回進而允許遠端攻擊者造成拒絕服務 (堆疊溢位和透過涉及巢狀 WAVEFORMATEX 的向量。
 CVE-2017-5840 在 1.10.3 之前的 GStreamer 中gst-plugins-good 內 gst/isomp4/qtdemux.c 的 qtdemux_parse_samples 函式允許遠端攻擊者透過涉及目前 stts 索引的向量造成拒絕服務 (超出邊界堆積讀取)。
 CVE-2017-5841 在 1.10.3 之前的 GStreamer 中gst-plugins-good 內 gst/avi/gstavidemux.c 的 gst_avi_demux_parse_ncdt 函式允許遠端攻擊者透過涉及 ncdt 標籤的向量造成拒絕服務 (超出邊界堆積讀取)。
 CVE-2017-5842 在 1.10.3 之前的 GStreamer 中gst-plugins-base 的 gst/subparse/samiparse.c 的 html_context_handle_element 函式允許遠端攻擊者透過特製的 SMI 檔案造成拒絕服務 (超出邊界寫入)如下所示OneNote_Manager.smi。
 1.10.3CVE-2017-5843 在 之前的 GStreamer 中(1) gst_mini_object_unref、(2) gst_tag_list_unref 和 (3) gst_mxf_demux_update_essence_tracks 函式存有多個釋放後使用弱點允許遠端攻擊者透過涉及資料流標籤的向量造成拒絕服務 (當機) 02785736.mxf 即為一例。
 CVE-2017-5844 在 1.10.3 之前的 GStreamer 中gst-plugins-base 之 gst-libs/gst/riff/riff-media.c 的 gst_riff_create_audio_caps 函式允許遠端攻擊者透過特製的 ASF造成拒絕服務 (浮點例外狀況和當機)檔案。
 CVE-2017-5845 在 1.10.3 之前的 GStreamer 中gst-plugins-good 內 gst/avi/gstavidemux.c 的 gst_avi_demux_parse_ncdt 函式允許遠端攻擊者透過 ncdt 子標籤 (位於標記。
 CVE-2017-5848 在 GStreamer 的 gst-plugins-bad 中gst/mpegdemux/gstmpegdemux.c 內的 gst_ps_demux_parse_psm 函式允許遠端攻擊者透過涉及 PSM 剖析的向量造成拒絕服務 (無效的記憶體讀取和損毀)。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/8619

Plugin 詳細資訊

嚴重性: Critical

ID: 290002

檔案名稱: miracle_linux_AXSA-2017-2179.nasl

版本: 1.3

類型: local

已發布: 2026/1/16

已更新: 2026/1/19

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Critical

分數: 9.4

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 8.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2016-1019

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 9.4

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:H/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:miracle:linux:gstreamer1-plugins-good, p-cpe:/a:miracle:linux:gstreamer1, p-cpe:/a:miracle:linux:gstreamer1-plugins-bad-free, p-cpe:/a:miracle:linux:gstreamer-plugins-bad-free, p-cpe:/a:miracle:linux:gstreamer-plugins-good, p-cpe:/a:miracle:linux:orc, p-cpe:/a:miracle:linux:gnome-video-effects, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:gstreamer1-plugins-base, p-cpe:/a:miracle:linux:gstreamer1-plugins-base-devel, p-cpe:/a:miracle:linux:gstreamer1-devel, p-cpe:/a:miracle:linux:clutter-gst2-devel, p-cpe:/a:miracle:linux:clutter-gst2

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2017/9/13

弱點發布日期: 2016/4/5

CISA 已知遭惡意利用弱點到期日: 2022/3/24

參考資訊

CVE: CVE-2016-1019, CVE-2016-9446, CVE-2016-9810, CVE-2016-9811, CVE-2017-5837, CVE-2017-5838, CVE-2017-5839, CVE-2017-5840, CVE-2017-5841, CVE-2017-5842, CVE-2017-5843, CVE-2017-5844, CVE-2017-5845, CVE-2017-5848

IAVA: 2016-A-0087-S