LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2550-1 openjpeg2

Bulletin d'alerte Debian

DLA-2550-1 openjpeg2 -- Mise à jour de sécurité pour LTS

Date du rapport :

9 février 2021

Paquets concernés :

openjpeg2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-27814, CVE-2020-27823, CVE-2020-27824, CVE-2020-27841, CVE-2020-27844, CVE-2020-27845.

Plus de précisions :

Diverses erreurs de dépassement ont été repérées et corrigées.

• CVE-2020-27814

  Un dépassement de tampon de tas a été découvert dans la façon dont openjpeg2 gérait certains fichiers au format PNG.

• CVE-2020-27823

  Mauvais calcul de x1,y1 si l’option -d était utilisée, aboutissant à un dépassement de tampon de tas.

• CVE-2020-27824

  Dépassement de tampon général lors d’une conversion irréversible quand trop de niveaux de décomposition étaient indiqués.

• CVE-2020-27841

  Une entrée contrefaite pour un traitement par l’encodeur openjpeg pourrait provoquer une lecture hors limites.

• CVE-2020-27844

  Une entrée contrefaite pour un traitement par l’encodeur openjpeg pourrait provoquer une écriture hors limites.

• CVE-2020-27845

  Une entrée contrefaite pourrait provoquer une écriture hors limites.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.1.2-1.1+deb9u6.

Nous vous recommandons de mettre à jour vos paquets openjpeg2.

Pour disposer d'un état détaillé sur la sécurité de openjpeg2, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/openjpeg2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.