Bulletin d'alerte Debian

DLA-1583-1 jasper -- Mise à jour de sécurité pour LTS

Date du rapport :
21 novembre 2018
Paquets concernés :
jasper
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-5203, CVE-2015-5221, CVE-2016-8690, CVE-2017-13748, CVE-2017-14132.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans la bibliothèque JPEG-2000 JasPer.

  • CVE-2015-5203

    Gustavo Grieco a découvert une vulnérabilité de dépassement d’entier qui permet à des attaquants distants de provoquer un déni de service ou d’avoir un autre impact non spécifié à l'aide d'un fichier d’image JPEG 2000 contrefait.

  • CVE-2015-5221

    Josselin Feist a trouvé une vulnérabilité de double libération de zone de mémoire qui permet à des attaquants distants de provoquer un déni de service (plantage d'application) en traitant un fichier image malformé.

  • CVE-2016-8690

    Gustavo Grieco a découvert une vulnérabilité de déréférencement de pointeur NULL qui peut provoquer un déni de service à l'aide d'un fichier image BMP contrefait. La mise à jour inclut des correctifs pour des problèmes en rapport CVE-2016-8884 et CVE-2016-8885 qui complètent le correctif pour CVE-2016-8690.

  • CVE-2017-13748

    jasper ne libère pas correctement la mémoire utilisée pour stocker l’image de tuile lorsque le décodage d’image échoue. Cela pourrait conduire à un déni de service.

  • CVE-2017-14132

    Une lecture hors limites de tampon basé sur le tas a été découverte concernant la fonction jas_image_ishomosamp qui pourrait être déclenchée à l'aide d'un fichier image contrefait et causer un déni de service (plantage d'application) ou avoir un autre impact non spécifié.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.900.1-debian1-2.4+deb8u4.

Nous vous recommandons de mettre à jour vos paquets jasper.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.