2017-0223: GStreamer: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2017-02-09 16:31)

Neues Advisory

Version 2 (2017-02-10 11:13)

Das Sicherheitsupdate FEDORA-2017-504745c0b4 für 'mingw-gstreamer1' auf Version 1.11.1 (Development Branch) befindet sich mittlerweile im Status 'obsolete', die Referenz wurde daher entfernt. Das Update auf Version 1.10.3 (Stable) befindet sich weiterhin im Status 'testing'.

Version 3 (2017-03-01 11:06)

Für openSUSE Leap 42.1 steht ein Sicherheitsupdate für GStreamer zur Verfügung, um die Schwachstelle zu beheben.

Version 4 (2017-03-28 13:25)

Debian stellt für die stabile Distribution Jessie und die zukünftig stabile (upcoming stable) Version Stretch Sicherheitsupdates für GStreamer zur Verfügung, um die Schwachstelle zu beheben. Wenngleich in dem Debian Security Advisory nur die eine Schwachstelle referenziert wird, spricht Debian von mehreren Schwachstellen, die auch für die Ausführung beliebigen Programmcodes ausgenutzt werden können.

Version 5 (2017-04-10 11:21)

Für die SUSE Linux Enterprise 12 SP1 Produkte Software Development Kit, Server und Desktop sowie für die SUSE Linux Enterprise 12 SP2 Produkte Software Development Kit, Server, Server for Raspberry Pi und Desktop stehen Backport-Sicherheitsupdates zur Behebung der Schwachstelle bereit.

Version 6 (2017-04-18 16:24)

Für openSUSE Leap 42.2 steht nun ebenfalls ein Sicherheitsupdate bereit.

Version 7 (2023-08-16 17:18)

Canonical stellt für Ubuntu 16.04 ESM Sicherheitsupdates bereit, mit denen die Schwachstelle in 'gstreamer1.0' behoben wird.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann die Schwachstelle mit Hilfe speziell präparierter Zeitinformationen aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen oder möglicherweise Informationen auszuspähen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Für Fedora 25 steht mit dem Paket 'mingw-gstreamer1-1.11.1-1.fc25' ein Sicherheitsupdate im Status 'testing' und mit Paket 'mingw-gstreamer1-1.10.3-1.fc25' ein Sicherheitsupdate im Status 'pending' bereit. Der Versionszweig 1.11 von GStreamer ist ein Entwicklungszweig für die nächste stabile Version 1.12, während die Version 1.10.3 das letzte stabile Release darstellt.

Schwachstellen:

CVE-2017-5838

Schwachstelle in GStreamer ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.