<div dir="auto">Thank you Nirbheek for the details!</div><div dir="auto">This is very helpful.</div><div dir="auto"><br></div><div dir="auto">Cheers</div><div dir="auto">Unnikrishnan </div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Apr 16, 2022 at 11:52 AM Nirbheek Chauhan <<a href="mailto:nirbheek.chauhan@gmail.com">nirbheek.chauhan@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Fri, Apr 15, 2022 at 5:15 AM Unnikrishnan Sreekumar via<br>
gstreamer-devel <<a href="mailto:gstreamer-devel@lists.freedesktop.org" target="_blank">gstreamer-devel@lists.freedesktop.org</a>> wrote:<br>
> I am looking for help with certain security vulnerabilities in GStreamer and these are my questions:<br>
><br>
><br>
> Questions:<br>
><br>
> 1) Can GStreamer support importing the fixes for CVEs in (3) and (4) below - for older releases?<br>
><br>
> If so, how?<br>
><br>
<br>
All these were already backported into 1.14, 1.16, 1.18 (as<br>
applicable). So you just need to use the latest versions of each of<br>
those stable series.<br>
<br>
><br>
> 2) Could you share details (like commit hashes) about these patches, and any instructions/tips on how to cherry-pick patches to older GStreamer releases - for (3) and (4)?<br>
><br>
><br>
> 3) Will the security fixes that went in for mkv parser vulnerabilities in Gst 1.18.4 be cherry-picked to earlier releases like Gst 1.16.2 ?<br>
><br>
> Specifically for CVEs: CVE-2021-3498 , CVE-2021-3497<br>
><br>
<br>
The MR says this was already backported into 1.16 and 1.14:<br>
<br>
<a href="https://gitlab.freedesktop.org/gstreamer/gst-plugins-good/-/merge_requests/902" rel="noreferrer" target="_blank">https://gitlab.freedesktop.org/gstreamer/gst-plugins-good/-/merge_requests/902</a><br>
<br>
This is the 1.14 backport MR:<br>
<br>
<a href="https://gitlab.freedesktop.org/gstreamer/gst-plugins-good/-/merge_requests/905" rel="noreferrer" target="_blank">https://gitlab.freedesktop.org/gstreamer/gst-plugins-good/-/merge_requests/905</a><br>
<br>
And this is for 1.16:<br>
<br>
<a href="https://gitlab.freedesktop.org/gstreamer/gst-plugins-good/-/merge_requests/904" rel="noreferrer" target="_blank">https://gitlab.freedesktop.org/gstreamer/gst-plugins-good/-/merge_requests/904</a><br>
<br>
> 4) Will the security fixes that went in for rtsp connection parser vulnerability in Gst 1.16.0 be cherry-picked to earlier releases like Gst 1.14.5 ?<br>
><br>
> CVE: CVE-2019-9928<br>
><br>
<br>
According to the merge request:<br>
<a href="https://gitlab.freedesktop.org/gstreamer/gst-plugins-base/-/merge_requests/157" rel="noreferrer" target="_blank">https://gitlab.freedesktop.org/gstreamer/gst-plugins-base/-/merge_requests/157</a><br>
<br>
This was already cherry-picked into 1.14.5. See the git history:<br>
<a href="https://gitlab.freedesktop.org/gstreamer/gst-plugins-base/-/commits/1.14/" rel="noreferrer" target="_blank">https://gitlab.freedesktop.org/gstreamer/gst-plugins-base/-/commits/1.14/</a><br>
<br>
And it was fixed during the 1.15 development cycle, so the 1.16.x<br>
stable series is not affected.<br>
<br>
Cheers,<br>
Nirbheek<br>
</blockquote></div></div>