LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2018 / Informations sur la sécurité -- DLA-1583-1 jasper

Bulletin d'alerte Debian

DLA-1583-1 jasper -- Mise à jour de sécurité pour LTS

Date du rapport :

21 novembre 2018

Paquets concernés :

jasper

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-5203, CVE-2015-5221, CVE-2016-8690, CVE-2017-13748, CVE-2017-14132.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans la bibliothèque JPEG-2000 JasPer.

• CVE-2015-5203

  Gustavo Grieco a découvert une vulnérabilité de dépassement d’entier qui permet à des attaquants distants de provoquer un déni de service ou d’avoir un autre impact non spécifié à l'aide d'un fichier d’image JPEG 2000 contrefait.

• CVE-2015-5221

  Josselin Feist a trouvé une vulnérabilité de double libération de zone de mémoire qui permet à des attaquants distants de provoquer un déni de service (plantage d'application) en traitant un fichier image malformé.

• CVE-2016-8690

  Gustavo Grieco a découvert une vulnérabilité de déréférencement de pointeur NULL qui peut provoquer un déni de service à l'aide d'un fichier image BMP contrefait. La mise à jour inclut des correctifs pour des problèmes en rapport CVE-2016-8884 et CVE-2016-8885 qui complètent le correctif pour CVE-2016-8690.

• CVE-2017-13748

  jasper ne libère pas correctement la mémoire utilisée pour stocker l’image de tuile lorsque le décodage d’image échoue. Cela pourrait conduire à un déni de service.

• CVE-2017-14132

  Une lecture hors limites de tampon basé sur le tas a été découverte concernant la fonction jas_image_ishomosamp qui pourrait être déclenchée à l'aide d'un fichier image contrefait et causer un déni de service (plantage d'application) ou avoir un autre impact non spécifié.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.900.1-debian1-2.4+deb8u4.

Nous vous recommandons de mettre à jour vos paquets jasper.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.