LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2017 / Informations sur la sécurité -- DLA-920-1 jasper

Bulletin d'alerte Debian

DLA-920-1 jasper -- Mise à jour de sécurité pour LTS

Date du rapport :

26 avril 2017

Paquets concernés :

jasper

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-9591, CVE-2016-10251.

Plus de précisions :

• CVE-2016-9591

  Utilisation de mémoire après libération de tas dans jas_matrix_destroy. Cette vulnérabilité existe dans le code responsable du réencodage d’un fichier d’entrée d’image décodée en une image JP2. La vulnérabilité est causée en ne réglant pas les pointeurs relatifs à null après la libération des pointeurs (c'est-à-dire, des opérations Setting-Pointer-Null manquantes après libération). La vulnérabilité peut après coup provoquer une double libération de zone de mémoire.

• CVE-2016-10251

  Un dépassement d'entier dans la fonction jpc_pi_nextcprl dans jpc_t2cod.c dans JasPer avant 1.900.20 permet à des attaquants distants d’avoir un impact non précisé à l'aide d'un fichier contrefait, qui déclenche l’utilisation d’une valeur non initialisée.

• Correctifs supplémentaires pour TEMP-CVE de la dernière publication pour éviter des ennuis avec SIZE_MAX.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.900.1-13+deb7u6.

Nous vous recommandons de mettre à jour vos paquets jasper.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.