Debians sikkerhedsbulletin
DSA-3508-1 jasper -- sikkerhedsopdatering
- Rapporteret den:
- 6. mar 2016
- Berørte pakker:
- jasper
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 812978, Fejl 816625, Fejl 816626.
I Mitres CVE-ordbog: CVE-2016-1577, CVE-2016-2089, CVE-2016-2116. - Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i JasPer, et bibliotek til manipulering af JPEG-2000-filer. Projektet Common Vulnerabilities and Exposures har identificeret følgende problemer:
- CVE-2016-1577
Jacob Baines opdagede en dobbelt frigivelse-fejl i funktionen jas_iccattrval_destroy. En fjernangriber kunne udnytte fejlen til at forårsage at en applikation, der anvender biblioteket JasPer, gik ned, eller potentielt udføre vilkårlig kode med rettighederne hørende til den bruger, som kører applikationen.
- CVE-2016-2089
Qihoo 360 Codesafe Team opdagede en NULL-pointerdereferencefejl i funktionen jas_matrix_clip. En fjernangriber kunne udnytte fejlen til at forårsage at en appplikation, der anvender biblioteket JasPer, gik ned, medførende et lammelsesangreb (denial of service).
- CVE-2016-2116
Tyler Hicks opdagede en hukommelseslækagefejl i funktionen jas_iccprof_createfrombuf. En fjernangriber kunne udnytte fejlen til at forårsage at biblioteket JasPer forbruger hukommelse, medførende et lammelsesangreb.
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.900.1-13+deb7u4.
I den stabile distribution (jessie), er disse problemer rettet i version 1.900.1-debian1-2.4+deb8u1.
Vi anbefaler at du opgraderer dine jasper-pakker.
- CVE-2016-1577