Bulletin d'alerte Debian

DLA-2277-1 openjpeg2 -- Mise à jour de sécurité pour LTS

Date du rapport :
11 juillet 2020
Paquets concernés :
openjpeg2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 931292, Bogue 950000, Bogue 950184.
Dans le dictionnaire CVE du Mitre : CVE-2019-12973, CVE-2020-6851, CVE-2020-8112, CVE-2020-15389.
Plus de précisions :

Les CVE suivants ont été signalés à l’encontre de src:openjpeg2.

  • CVE-2019-12973

    Dans OpenJPEG 2.3.1, il existait une itération excessive dans la fonction opj_t1_encode_cblks de openjp2/t1.c. Des attaquants distants pouvaient exploiter cette vulnérabilité pour provoquer un déni de service à l'aide d'un fichier bmp contrefait. Ce problème est similaire CVE-2018-6616.

  • CVE-2020-6851

    OpenJPEG jusqu’à la version 2.3.1 possédait un dépassement de tampon de tas dans opj_t1_clbl_decode_processor dans openjp2/t1.c à cause d’un manque de validation de opj_j2k_update_image_dimensions.

  • CVE-2020-8112

    opj_t1_clbl_decode_processor dans openjp2/t1.c dans OpenJPEG 2.3.1 jusqu’au 28/01/2020 possédait un dépassement de tampon de tas dans le cas où qmfbid==1, un problème différent de CVE-2020-6851.

  • CVE-2020-15389

    jp2/opj_decompress.c dans OpenJPEG jusqu’à la version 2.3.1 comprenait une utilisation de mémoire après libération pouvant être déclenchée s’il existait un mélange de fichiers valables et non valables dans un répertoire traité par le décompresseur. Le déclenchement d’une double libération de zone de mémoire était aussi possible. Cela concernait un double appel de opj_image_destroy.

Pour Debian 9 stretch, ces problèmes ont été corrigés dans la version 2.1.2-1.1+deb9u5.

Nous vous recommandons de mettre à jour vos paquets openjpeg2.

Pour disposer d'un état détaillé sur la sécurité de openjpeg2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/openjpeg2

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.