10 уязвимостей в GStreamer, приводящих к удалённому выполнению кода

11.03.2026 11:34 (MSK)

В мультимедийном фреймворке GStreamer, используемом в GNOME, выявлено 10 уязвимостей, все из которых помечены как допускающие удалённое выполнение кода при обработке некорректно оформленных мультимедийных данных в форматах AVI, RTP, H.266, JPEG, ASF и RealMedia, а также субтитров DVB-SUB. Двум проблемам присвоен уровень опасности 8.8 из 10, а остальным 7.8. Восемь уязвимостей приводят к записи данных за пределы буфера, а две к целочисленному переполнению.

CVE-2026-3085, CVE-2026-3083 - переполнения буфера в плагине rtp, возникающее из-за отсутствия должной проверки размера и данных при обработке полей X-QDM RTP.
CVE-2026-2923 - переполнение буфера при обработке некорректных координат в субтитрах DVB-SUB.
CVE-2026-3081 - переполнение буфера из-за некорректной проверки размера структур при разборе формата H.266 (VVC, Versatile Video Coding).
CVE-2026-3082 - переполнение буфера из-за отутствия должных проверок размера при разборе таблиц Хаффмана в изображениях JPEG.
CVE-2026-2920 - переполнение буфера из-за отсутствия должных проверок размера при разборе заголовков мультимедийных контейнеров в формате ASF.
CVE-2026-2922 - переполнение буфера из-за некорректной проверки структур при разборе мультимедийных контейнеров в формате RealMedia.
CVE-2026-2921 - целочисленное переполнение при разборе RIFF-блоков с палитрой в файлах AVI.
CVE-2026-3084 - целочисленное переполнение в реализвции кодека H.266 при разборе секций с изображениями.
CVE-2026-3086 - переполнение буфера в реализвции кодека H.266 при разборе APS-блоков.

Библиотека GStreamer применяется для разбора мультимедийных файлов в приложениях Nautilus (GNOME Files), GNOME Videos и Rhythmbox, а также в развиваемом проектом GNOME поисковом движке localsearch (ранее назывался tracker-miners). Данный движок устанавливается во многих дистрибутивах в качестве зависимости к пакету tracker-extract, применяемому в GNOME для автоматического разбора метаданных в новых файлах. Среди прочего, указанный сервис индексирует все файлы в домашнем каталоге без каких-либо действий со стороны пользователя. Таким образом, для атаки достаточно добиться появления в каталоге пользователя специально созданного мультимедийного файла и уязвимость будет эксплуатирована во время его автоматической индексации.

В большинстве дистрибутивов с GNOME компоненты localsearch (tracker-miners) активируются по умолчанию и загружаются как жёсткая зависимость к файловому менеджеру Nautilus (GNOME Files). При этом начиная c GNOME 46 процесс localsearch запускается с использованием sandbox-изоляции. Для отключения извлечения метаданных можно удалить файлы с правилами из каталога /usr/share/localsearch3/extract-rules/ или /usr/share/tracker3-miners/extract-rules/.

Уязвимости устранены в обновлении GStreamer 1.28.1. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora, FreeBSD.

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64964-gstreamer

Ключевые слова: gstreamer

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (43)

1.1, Аноним (1), 12:10, 11/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Благодаря нейронкам в 2026 ожидайте тысячи реальных уязвимостей в опен-сорс софте - нейронки уже умеют слишком хорошо находить их.

2.2, Аноним (2), 12:14, 11/03/2026 [^] [^^] [^^^] [ответить]	+2 +/–
И скоро смогут заменить Jia Tan'а ;)

2.9, Аноним (9), 12:36, 11/03/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Наконец-то появились те мифические 1000 глаз, безустанно сканирующих открытый код на предмет ошибок и уязвимостей.

3.18, Аноним (18), 12:52, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
Даже если он искусственны.

1.4, Аноним (4), 12:19, 11/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
> Восемь уязвимостей приводят к записи данных за пределы буфера, а две к целочисленному переполнению. Как сказали в соседней новсти об уязвимости в Pingora, "если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить". Whait, oh shi... 😳

2.11, Аноним (11), 12:39, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
Тут: 8.8, 7.8... Раст: 9.3 из 10

3.16, Аноним (16), 12:51, 11/03/2026 [^] [^^] [^^^] [ответить]	–3 +/–
Там 3 штуки, тут 10 штук. Там нужно лезть на какой-то сайт, тут запустить файлик локально. Где тут любитель "зеленого магазина"? Оба хороши...

4.25, Аноним (25), 13:34, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
>Там 3 штуки, тут 10 штук. Вы неправильно считаете. Нужно смотреть не на количество уязвимостей, выявленных за раз, а на их суммарное количество. В GStreamer постоянно находят уязвимости, связанные с управлением памятью.

5.40, Аноним (11), 14:57, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
Что опасней: 10 мух или один бешеный лев?

3.28, Аноним (28), 13:50, 11/03/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Неверное вычисление размера пакета, после чего другой! backend криво обработал запрос - 9.3 балла. Исполнение произвольного кода при открытии JPEG картинки - 7.8 баллов. Брава! =)

2.35, Аноним (-), 14:35, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
Ну ожидаемо. На brainfuck весьма сложно отслеживать логику приложения.

1.5, Аноним (5), 12:23, 11/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> уязвимостей, все из которых помечены как допускающие удалённое выполнение кода Бгг, вы там на модных языках городите всякие IPC/RPC механизмы, а в сишечке это вон прямо из коробки есть.

2.13, Аноним (13), 12:43, 11/03/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Ахаха 😁😁😆 Надо запомнить эту шутку

1.6, Аноним (6), 12:25, 11/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
FFMPEG only

2.10, Аноним (10), 12:38, 11/03/2026 [^] [^^] [^^^] [ответить]	+4 +/–
Ломает совместимость и рассыпается раз в месяц. Кроме того, там такой кадавр, что найти подобные баги в нём не в пример сложнее (а их там есть, и намеренные, и нет).

3.15, Аноним (15), 12:50, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
> Ломает совместимость и рассыпается раз в месяц. А нечего его дёргать через библиотеки, вопреки идеологии UNIX.

4.20, Аноним (20), 12:57, 11/03/2026 [^] [^^] [^^^] [ответить]	+3 +/–
А простите "идеологии UNIX" это как? Писать креп рассыпающийся от малейшего чиха?

4.27, Аноним (4), 13:49, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
>> FFMpeg > А нечего его дёргать через библиотеки, вопреки идеологии UNIX. Шта? А как видеоплееры могут использовать ffmpeg не через библиотеку?

5.30, анон (?), 14:19, 11/03/2026 [^] [^^] [^^^] [ответить]

+/–

"выросло поколение", "понабрали по ЕГЭ".

Например ffplay + xembed. Так, как w3m картинки показывает.

Или можно пайпать вывод ffmpeg2yuv, а yuv рисовать на своём окне.

6.31, Аноним (31), 14:21, 11/03/2026 [^] [^^] [^^^] [ответить]

+/–

> "выросло поколение",

которое не занимается извращениями)

> Или можно пайпать вывод ffmpeg2yuv, а yuv рисовать на своём окне.

Или можно делать это прям в гамаке стоя на лыжах.
Чего не сделаешь ради качественного прдолинга ради прдолинга.

6.34, Аноним (4), 14:33, 11/03/2026 [^] [^^] [^^^] [ответить]

+/–

>> А как видеоплееры могут использовать ffmpeg не через библиотеку?
> Например ffplay + xembed.

Чувак, ffplay - это и есть тот самый плеер, который юзает библиотеку ffmpeg (libav).

> "выросло поколение", "понабрали по ЕГЭ".

Какая ирония...

6.36, Аноним (4), 14:36, 11/03/2026 [^] [^^] [^^^] [ответить]

+/–

> Или можно пайпать вывод ffmpeg2yuv, а yuv

Не забудь потом запайпит вывод аудио, лол.

> рисовать на своём окне.

В каком еще окне? Только в терминале через libcaca! Ты что, только консольный юниксвей!

3.23, Аноним (23), 13:30, 11/03/2026 [^] [^^] [^^^] [ответить]

+1 +/–

>Ломает совместимость

В пределах одной мажорной версии ничего не ломается, даже бинарная совместимость сохраняется. А переезд 7.1 - 8.0 так вообще прошёл без проблем.

> баги в нём не в пример сложнее

После кода гстримера там код читается как букварь.

4.37, Аноним (10), 14:37, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
Да что ты рассказываешь, каждое обновление что-то ломают. Т.е. x.0.0 работает, а x.0.1 и последующие уже отвалится в куче мест. У них вообще нет совместимости, ломают все "ветки" разом. Именно по этой причине всему софту приходится тащить свою протухшую копию ffmpeg. Gstreamer, для сравнения, я не помню, чтобы ломал что-то, единственное было 0.10->1.0.

5.44, Аноним (44), 15:14, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
Пример в студию

1.7, Аноним (16), 12:32, 11/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
> выявлено 10 уязвимостей > восемь приводят к записи данных за пределы буфера > две к целочисленному переполнению Ни одной, ни одной уязвимости без проблемы с памятью! И все позволяют выполнить произвольный код... прям какая-то жесть.

2.12, Аноним (11), 12:40, 11/03/2026 [^] [^^] [^^^] [ответить]	+1 +/–
https://www.opennet.me/opennews/art.shtml?num=64957

3.14, Аноним (13), 12:47, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
Вы ту новость-то читали? Там логические ошибки, можно сказать программисты if забыли написать вот и уязвимость. А тут дыры в самых базовых вещах.

4.17, Аноним (17), 12:51, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
А в итоге разницы нет.

5.26, Аноним (25), 13:36, 11/03/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Разница есть. Наличие проблем с управлением памятью никак не исключает количество логических ошибок, а суммируется с ним.

5.41, Аноним (11), 15:01, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
Есть разница: логические растоошибки отмечены куда более опасными.

3.19, Аноним (16), 12:52, 11/03/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Отличный наброс из серии "а у вас негров линчуют". Чтобы получить проблему там - нужно еще постараться. А тут нужно просто кинцо с торрента скачать.

4.22, Аноним (22), 13:15, 11/03/2026 [^] [^^] [^^^] [ответить]

+1 +/–

Забавно. Тут смотрелка, которая может специально подготовленными файлами закрешить программу локального пользователя.

Там система гарантирующая безопасную доставку контента позволяет его подменить. То есть, как вариант, послать деньги не туда.

Что же из этого хуже?

5.24, Аноним (-), 13:31, 11/03/2026 [^] [^^] [^^^] [ответить]

–1 +/–

> Забавно. Тут смотрелка, которая может специально подготовленными файлами закрешить программу локального пользователя.

Таки закрешить или выполнить произвольный код?))

Или у фанатов дыpяшки "... все из которых помечены как допускающие удалённое выполнение кода при обработке некорректно оформленных мультимедийных данных..." теперь называется закрешить?

> Там система гарантирующая безопасную доставку контента позволяет его подменить. То есть, как вариант, послать деньги не туда.

"Проблемы проявляются при использовании Pingora в форме обратного прокси (ingress proxy), ...
Применяемая в сети доставки контента Cloudflare конфигурация Pingora не позволяла эксплуатировать уязвимости, так как Pingora в CDN не используется в роли ingress-прокси "

Ну т.е саму Cloudflare это не коснулось, а возможно пострадали ̶б̶е̶с̶п̶л̶а̶т̶н̶ы̶е̶ ̶б̶е̶т̶а̶т̶е̶с̶т̶е̶р̶ы̶ любители халявы.

> Что же из этого хуже?

Думаю первое.
Т.е с торрентов качается много видео, скорее всего дырки уже используются.

Второе тоже очень плохо, но реализация сложнее и обычных пользователь от этого пострадает с меньшей вероятностью.

6.42, Аноним (11), 15:03, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
> или выполнить произвольный код?) Работающий эксплоит не предоставлен.

7.43, Аноним (43), 15:08, 11/03/2026 [^] [^^] [^^^] [ответить]

+/–

>> или выполнить произвольный код?)
> Работающий эксплоит не предоставлен.

Точно так же как и для Pingora.
Там даже лучше - самая опасная ошибка вообще не работает на инфраструктуре клоудфлари "Применяемая в сети доставки контента Cloudflare конфигурация Pingora не позволяла эксплуатировать уязвимости, так как Pingora в CDN не используется в роли ingress-прокси"

1.8, Аноним (8), 12:33, 11/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
H.266 - на дидов не сопрешь :)

1.21, Аноним (17), 13:14, 11/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Это как надо навайбкодить чтобы при отрисовке ЖПЕГ запускался произвольный код.

2.32, анон (?), 14:23, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
Легко. JPEG это дискретное косинусное преобразование, им можно приблизить любую функцию (если её отразить относительно 0), ну а потом просто br на её начало.

2.45, Аноним (44), 15:17, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
Единственный адекватный вопрос в комментах. Посмотрите, что такое glib и gobject. Это буквально ООП в сишке, со всеми вытекающими из ООП парадигмы.

1.33, Сладкая булочка (?), 14:28, 11/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Кто-то опять сканер расчехлил? А не хотят ли гномовцы встроить его в ci?

2.38, Аноним (38), 14:53, 11/03/2026 [^] [^^] [^^^] [ответить]	+/–
> А не хотят ли гномовцы встроить его в ci? Чтобы они вообще ничего закоммитить не смогли?)

1.39, Аноним (38), 14:56, 11/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> 10 уязвимостей в GStreamer Падумаешь! В прошлый раз нашли 29 уязвимостей... и чо?! opennet.ru/opennews/art.shtml?num=62441

игнорирование участников | лог модерирования

Добавить комментарий

Текст: