Debians sikkerhedsbulletin
DSA-4405-1 openjpeg2 -- sikkerhedsopdatering
- Rapporteret den:
- 10. mar 2019
- Berørte pakker:
- openjpeg2
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 884738, Fejl 888533, Fejl 889683, Fejl 904873, Fejl 910763.
I Mitres CVE-ordbog: CVE-2017-17480, CVE-2018-5785, CVE-2018-6616, CVE-2018-14423, CVE-2018-18088. - Yderligere oplysninger:
-
Adskillige sårbarheder er opdaget i openjpeg2, open source JPEG 2000-codec'et, hvilke kunne udnyttes til at forårsage et lammelsesangreb eller muligvis fjernudførelse af kode.
- CVE-2017-17480
Bufferoverløb i stakskrivning i codec'erne jp3d og jpwl, kunne medføre lammelsesangreb eller fjernudførelse af kode gennem en fabrikeret jp3d- eller jpwl-fil.
- CVE-2018-5785
Heltalsoverløb kunne medføre et lammelsesangreb gennem en fabrikeret bmp-fil.
- CVE-2018-6616
Alt for mange iterationer kunne medføre et lammelsesangreb gennem en fabrikeret bmp-fil.
- CVE-2018-14423
Division med nul-sårbarheder, kunne medføre et lammelsesangreb gennem en fabrikeret j2k-fil.
- CVE-2018-18088
En nullpointerdereference kunne medføre lammelsesangreb gennem en fabrikeret bmp-fil.
I den stabile distribution (stretch), er disse problemer rettet i version 2.1.2-1.1+deb9u3.
Vi anbefaler at du opgraderer dine openjpeg2-pakker.
For detaljeret sikkerhedsstatus vedrørende openjpeg2, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/openjpeg2
- CVE-2017-17480