Bulletin d'alerte Debian

DLA-739-1 jasper -- Mise à jour de sécurité pour LTS

Date du rapport :
10 décembre 2016
Paquets concernés :
jasper
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-8654, CVE-2016-8691, CVE-2016-8692, CVE-2016-8693, CVE-2016-8882, CVE-2016-8883, CVE-2016-8887, CVE-2016-9560.
Plus de précisions :
  • CVE-2016-8691

    FPE sur une adresse inconnue ... jpc_dec_process_siz ... jpc_dec.c

  • CVE-2016-8692

    FPE sur une adresse inconnue ... jpc_dec_process_siz ... jpc_dec.c

  • CVE-2016-8693

    tentative de double libération de zone de mémoire ... mem_close ... jas_stream.c

  • CVE-2016-8882

    erreur de segmentation ou accès à un pointeur NULL dans jpc_pi_destroy

  • CVE-2016-9560

    dépassement de pile dans jpc_tsfb_getbands2 (jpc_tsfb.c)

  • CVE-2016-8887 part 1 + 2

    déréférencement de pointeur NULL dans jp2_colr_destroy (jp2_cod.c)

  • CVE-2016-8654

    dépassement de tas dans le code QMFB dans le codec JPC

  • CVE-2016-8883

    assertion dans jpc_dec_tiledecode()

  • TEMP-CVE

    dépassement de tas dans jpc_dec_tiledecode (jpc_dec.c)

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.900.1-13+deb7u5.

Nous vous recommandons de mettre à jour vos paquets jasper.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.