Bulletin d'alerte Debian
DLA-1583-1 jasper -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 21 novembre 2018
- Paquets concernés :
- jasper
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2015-5203, CVE-2015-5221, CVE-2016-8690, CVE-2017-13748, CVE-2017-14132.
- Plus de précisions :
-
Plusieurs vulnérabilités de sécurité ont été découvertes dans la bibliothèque JPEG-2000 JasPer.
- CVE-2015-5203
Gustavo Grieco a découvert une vulnérabilité de dépassement d’entier qui permet à des attaquants distants de provoquer un déni de service ou d’avoir un autre impact non spécifié à l'aide d'un fichier d’image JPEG 2000 contrefait.
- CVE-2015-5221
Josselin Feist a trouvé une vulnérabilité de double libération de zone de mémoire qui permet à des attaquants distants de provoquer un déni de service (plantage d'application) en traitant un fichier image malformé.
- CVE-2016-8690
Gustavo Grieco a découvert une vulnérabilité de déréférencement de pointeur NULL qui peut provoquer un déni de service à l'aide d'un fichier image BMP contrefait. La mise à jour inclut des correctifs pour des problèmes en rapport CVE-2016-8884 et CVE-2016-8885 qui complètent le correctif pour CVE-2016-8690.
- CVE-2017-13748
jasper ne libère pas correctement la mémoire utilisée pour stocker l’image de tuile lorsque le décodage d’image échoue. Cela pourrait conduire à un déni de service.
- CVE-2017-14132
Une lecture hors limites de tampon basé sur le tas a été découverte concernant la fonction jas_image_ishomosamp qui pourrait être déclenchée à l'aide d'un fichier image contrefait et causer un déni de service (plantage d'application) ou avoir un autre impact non spécifié.
Pour Debian 8
Jessie
, ces problèmes ont été corrigés dans la version 1.900.1-debian1-2.4+deb8u4.Nous vous recommandons de mettre à jour vos paquets jasper.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2015-5203