Informazioni sul CVE-2024-10573
Mpg123: buffer overflow when writing decoded pcm samples
CWE ID: CWE-787
Base Score (CVSS): N/A
CVE: CVE-2024-10573
Descrizione: Un difetto di scrittura fuori dai limiti è stato riscontrato in mpg123 quando gestisce stream creati. Quando decodifica PCM, libmpg123 potrebbe scrivere oltre la fine di un buffer allocato in memoria. Di conseguenza, la corruzione della memoria potrebbe verificarsi, e l’esecuzione di codice arbitrario non viene scartata. La complessità richiesta per sfruttare questo difetto è considerata alta, poiché il payload deve essere validato dal decoder MPEG e dal synth PCM prima dell’esecuzione. Inoltre, per eseguire con successo l’attacco, l’utente deve scansionare il flusso, rendendo il contenuto live streaming web una vettore di attacco improbabile.
Vettore di attacco CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: Required, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://access.redhat.com/errata/RHSA-2024:11193
- https://access.redhat.com/errata/RHSA-2024:11242
- https://access.redhat.com/security/cve/CVE-2024-10573
- https://bugzilla.redhat.com/show_bug.cgi?id=2322980
- https://mpg123.org/cgi-bin/news.cgi#2024-10-26
Prodotti interessati
- Sconosciuto – Sconosciuto
- Red Hat – Red Hat Enterprise Linux 8
- Red Hat – Red Hat Enterprise Linux 9
- Red Hat – Red Hat Enterprise Linux 7
Relazioni con altri prodotti
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 7
Anno: 2024
CWE: CWE-787
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 8
Anno: 2024
CWE: CWE-787
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 9
Anno: 2024
CWE: CWE-787
CVSS: 0.0