Säkerhetsbulletin från Debian

DSA-3106-1 jasper -- säkerhetsuppdatering

Rapporterat den:
2014-12-20
Berörda paket:
jasper
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 773463.
I Mitres CVE-förteckning: CVE-2014-8137, CVE-2014-8138.
Ytterligare information:

Jose Duart från Googles säkerhetsgrupp upptäckte en brist rörande dubbel frigörning (CVE-2014-8137) samt ett heapbaserat buffertspill (CVE-2014-8138) i JasPer, ett bibliotek för att manipulera JPEG-2000-filer. En speciellt skapad fil kunde orsaka att en applikation som använder JasPer kraschar, eller möjligen kör godtycklig kod.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.900.1-13+deb7u2.

För den kommande stabila utgåvan (Jessie) och den instabila distributionen (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era jasper-paket.