Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3508-1 jasper

Bulletin d'alerte Debian

DSA-3508-1 jasper -- Mise à jour de sécurité

Date du rapport :

6 mars 2016

Paquets concernés :

jasper

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 812978, Bogue 816625, Bogue 816626.
Dans le dictionnaire CVE du Mitre : CVE-2016-1577, CVE-2016-2089, CVE-2016-2116.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans JasPer, une bibliothèque pour manipuler des fichiers JPEG-2000. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2016-1577

  Jacob Baines a découvert un défaut de double libération dans la fonction jas_iccattrval_destroy. Un attaquant distant pourrait exploiter cette faille pour qu'une application utilisant la bibliothèque JasPer plante, ou potentiellement, exécute du code arbitraire avec les droits de l'utilisateur de cette application.

• CVE-2016-2089

  L'équipe Qihoo 360 Codesafe a découvert un problème de déréférencement de pointeur NULL dans la fonction jas_matrix_clip. Un attaquant distant pourrait exploiter ce défaut pour qu'une application utilisant la bibliothèque JasPer plante, amenant un déni de service.

• CVE-2016-2116

  Tyler Hicks a découvert un défaut de fuite de mémoire dans la fonction jas_iccprof_createfrombuf. Un attaquant distant pourrait exploiter ce défaut pour que la bibliothèque JasPer épuise la mémoire, amenant un déni de service.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1.900.1-13+deb7u4.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.900.1-debian1-2.4+deb8u1.

Nous vous recommandons de mettre à jour vos paquets jasper.