LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2277-1 openjpeg2

Bulletin d'alerte Debian

DLA-2277-1 openjpeg2 -- Mise à jour de sécurité pour LTS

Date du rapport :

11 juillet 2020

Paquets concernés :

openjpeg2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 931292, Bogue 950000, Bogue 950184.
Dans le dictionnaire CVE du Mitre : CVE-2019-12973, CVE-2020-6851, CVE-2020-8112, CVE-2020-15389.

Plus de précisions :

Les CVE suivants ont été signalés à l’encontre de src:openjpeg2.

• CVE-2019-12973

  Dans OpenJPEG 2.3.1, il existait une itération excessive dans la fonction opj_t1_encode_cblks de openjp2/t1.c. Des attaquants distants pouvaient exploiter cette vulnérabilité pour provoquer un déni de service à l'aide d'un fichier bmp contrefait. Ce problème est similaire à CVE-2018-6616.

• CVE-2020-6851

  OpenJPEG jusqu’à la version 2.3.1 possédait un dépassement de tampon de tas dans opj_t1_clbl_decode_processor dans openjp2/t1.c à cause d’un manque de validation de opj_j2k_update_image_dimensions.

• CVE-2020-8112

  opj_t1_clbl_decode_processor dans openjp2/t1.c dans OpenJPEG 2.3.1 jusqu’au 28/01/2020 possédait un dépassement de tampon de tas dans le cas où qmfbid==1, un problème différent de CVE-2020-6851.

• CVE-2020-15389

  jp2/opj_decompress.c dans OpenJPEG jusqu’à la version 2.3.1 comprenait une utilisation de mémoire après libération pouvant être déclenchée s’il existait un mélange de fichiers valables et non valables dans un répertoire traité par le décompresseur. Le déclenchement d’une double libération de zone de mémoire était aussi possible. Cela concernait un double appel de opj_image_destroy.

Pour Debian 9 stretch, ces problèmes ont été corrigés dans la version 2.1.2-1.1+deb9u5.

Nous vous recommandons de mettre à jour vos paquets openjpeg2.

Pour disposer d'un état détaillé sur la sécurité de openjpeg2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/openjpeg2

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.