Bulletin d'alerte Debian

DLA-920-1 jasper -- Mise à jour de sécurité pour LTS

Date du rapport :
26 avril 2017
Paquets concernés :
jasper
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-9591, CVE-2016-10251.
Plus de précisions :
  • CVE-2016-9591

    Utilisation de mémoire après libération de tas dans jas_matrix_destroy. Cette vulnérabilité existe dans le code responsable du réencodage d’un fichier d’entrée d’image décodée en une image JP2. La vulnérabilité est causée en ne réglant pas les pointeurs relatifs à null après la libération des pointeurs (c'est-à-dire, des opérations Setting-Pointer-Null manquantes après libération). La vulnérabilité peut après coup provoquer une double libération de zone de mémoire.

  • CVE-2016-10251

    Un dépassement d'entier dans la fonction jpc_pi_nextcprl dans jpc_t2cod.c dans JasPer avant 1.900.20 permet à des attaquants distants d’avoir un impact non précisé à l'aide d'un fichier contrefait, qui déclenche l’utilisation d’une valeur non initialisée.

  • Correctifs supplémentaires pour TEMP-CVE de la dernière publication pour éviter des ennuis avec SIZE_MAX.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.900.1-13+deb7u6.

Nous vous recommandons de mettre à jour vos paquets jasper.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.