Bulletin d'alerte Debian

DLA-138-1 jasper -- Mise à jour de sécurité pour LTS

Date du rapport :
28 janvier 2015
Paquets concernés :
jasper
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 775970.
Dans le dictionnaire CVE du Mitre : CVE-2014-8157, CVE-2014-8158.
Plus de précisions :

Un défaut dû à un décalage d'entier, ayant pour conséquence un dépassement de tas (CVE-2014-8157), et un défaut d'utilisation non restreinte de mémoire de pile (CVE-2014-8158) ont été découverts dans JasPer, une bibliothèque pour manipuler les fichiers JPEG-2000. Un fichier contrefait pour l'occasion pourrait faire planter une application utilisant JasPer ou, éventuellement, exécuter du code arbitraire.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 1.900.1-7+squeeze4 de jasper.