关键信息 漏洞描述 漏洞编号: CVE-2024-10573 公开日期: 2024年10月30日 最近修改日期: 2024年10月31日 严重性: 中等 描述: mpg123在处理构造流时存在越界写入错误。当解码PCM时,libmpg123可能会写入堆中定位的缓冲区之后。这可能导致堆损坏,并且任意代码执行不会被丢弃。成功利用此漏洞的复杂性很高,因为payload必须通过MPEG解码器和PCM合成器验证,然后才能执行。此外,要成功执行攻击,用户必须扫描流,使其成为非常不可能的攻击载体。 声明 产品安全团队分类: 中等严重性,因为攻击的复杂性和攻击载体通常被认为是本地的。 缓解措施 可以通过使用 选项来缓解此漏洞。 补充信息 Bugzilla: Bugzilla 2322980: mpg123: Buffer overflow when writing decoded PCM samples CWE: CWE-787: Out-of-bounds Write FAQ: 常见问题解答关于CVE-2024-10573 影响的包和发布的Red Hat安全补丁 受影响的包: mpg123 受影响的Red Hat产品: - Red Hat Enterprise Linux 7 - Red Hat Enterprise Linux 8 - Red Hat Enterprise Linux 9 CVSS评分 CVSS v3 Base Score: 6.7 攻击载体: 本地 攻击复杂性: 高 权限要求: 低 用户交互: 必需 范围: 不变 机密性影响: 高 完整性影响: 高 可用性影响: 高 常见问题解答 为什么Red Hat的CVSS v3评分或影响与其他供应商不同? 我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布此漏洞的修复? 如果我的产品被列为“不会修复”,我该怎么办? 如果我的产品被列为“修复推迟”,我该怎么办? 什么是缓解措施? 我有一个Red Hat产品,但它不在上述列表中,它是否受影响? 为什么我的安全扫描器将我的产品标记为受此漏洞影响,尽管我的产品版本已修复或不受影响? 我的产品被列为“超出支持范围”。这意味着什么? 版权和更新信息 页面生成时间: 2024年10月31日 版权: 2021年 其他信息 联系: 请通过Red Hat产品安全团队获取澄清或更正。 最后修改时间: 2024年10月31日,UTC时间6:29:24 PM