Debian セキュリティ勧告

DLA-121-1 jasper -- LTS セキュリティ更新

報告日時:
2014-12-22
影響を受けるパッケージ:
jasper
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-8137, CVE-2014-8138.
詳細:

Google セキュリティチームの Jose Duart さんが、JPEG-2000 ファイルを操作するライブラリ JasPer に二重解放の欠陥 (CVE-2014-8137) 及びヒープベースのバッファオーバーフローの欠陥 (CVE-2014-8138) を発見しています。特別に細工したファイルにより、JasPer を利用しているアプリケーションのクラッシュや、 潜在的には任意のコードの実行を引き起こすことが可能です。

Debian 6Squeezeでは、この問題は jasper バージョン 1.900.1-7+squeeze3 で修正されています。