Säkerhetsbulletin från Debian
DSA-3508-1 jasper -- säkerhetsuppdatering
- Rapporterat den:
- 2016-03-06
- Berörda paket:
- jasper
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 812978, Fel 816625, Fel 816626.
I Mitres CVE-förteckning: CVE-2016-1577, CVE-2016-2089, CVE-2016-2116. - Ytterligare information:
-
Flera sårbarheter har upptäckts i JasPer, ett bibliotek för manipulering av JPEG-2000-filer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2016-1577
Jacob Baines upptäckte en dubbel frigörnings-brist i funktionen jas_iccattrval_destroy. En fjärrangripare kunde exploatera denna brist för att orsaka att en applikation som använder JasPer-biblioteket att krascha, eller potentiellt, köra godtycklig kod med samma rättigheter som användaren som kör applikationen.
- CVE-2016-2089
Qihoo 500 Codesafe-gruppen upptäckte en NULL-pekarderefereringsbrist i funktionen jas_matrix_clip. En fjärrangripare kunde exploatera denna brist för att orsaka en applikation som använder JasPer-biblioteket att krascha, vilket resulterar i överbelastning.
- CVE-2016-2116
Tyler Hicks upptäckte ett minnesläckage i funktionen jas_iccprof_createfrombuf. En fjärrangripare kunde exploatera denna brist för att orsaka att JasPer-biblioteket förbrukar minne, vilket resulterar i överbelastning.
För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.900.1-13+deb7u4.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.900.1-debian1-2.4+deb8u1.
Vi rekommenderar att ni uppgraderar era jasper-paket.
- CVE-2016-1577