Информация по безопасности / 2016 / Информация о безопасности -- DSA-3508-1 jasper

Рекомендация Debian по безопасности

DSA-3508-1 jasper -- обновление безопасности

Дата сообщения:

06.03.2016

Затронутые пакеты:

jasper

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 812978, Ошибка 816625, Ошибка 816626.
В каталоге Mitre CVE: CVE-2016-1577, CVE-2016-2089, CVE-2016-2116.

Более подробная информация:

В JasPer, библиотеке для работы с файлами JPEG-2000, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2016-1577

  Якоб Баинес обнаружил двойное освобождение памяти в функции jas_iccattrval_destroy. Удалённый злоумышленник может использовать эту уязвимость для аварийной остановки приложения, использующего библиотеку JasPer, либо потенциально выполнить произвольный код с правами пользователя, запустившего это приложение.

• CVE-2016-2089

  Команда безопасности Qihoo 360 обнаружила разыменование NULL-указателя в функции jas_matrix_clip. Удалённый злоумышленник может использовать эту уязвимость для аварийной остановки приложения, использующего библиотеку JasPer, что приводит к отказу в обслуживании.

• CVE-2016-2116

  Тайлер Хикс обнаружил утечку памяти в функции jas_iccprof_createfrombuf. Удалённый злоумышленник может использовать эту уязвимость так, чтобы библиотека JasPer использовала всю память, что приводит к отказу в обслуживании.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.900.1-13+deb7u4.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.900.1-debian1-2.4+deb8u1.

Рекомендуется обновить пакеты jasper.