Debians sikkerhedsbulletin

DSA-4405-1 openjpeg2 -- sikkerhedsopdatering

Rapporteret den:
10. mar 2019
Berørte pakker:
openjpeg2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 884738, Fejl 888533, Fejl 889683, Fejl 904873, Fejl 910763.
I Mitres CVE-ordbog: CVE-2017-17480, CVE-2018-5785, CVE-2018-6616, CVE-2018-14423, CVE-2018-18088.
Yderligere oplysninger:

Adskillige sårbarheder er opdaget i openjpeg2, open source JPEG 2000-codec'et, hvilke kunne udnyttes til at forårsage et lammelsesangreb eller muligvis fjernudførelse af kode.

  • CVE-2017-17480

    Bufferoverløb i stakskrivning i codec'erne jp3d og jpwl, kunne medføre lammelsesangreb eller fjernudførelse af kode gennem en fabrikeret jp3d- eller jpwl-fil.

  • CVE-2018-5785

    Heltalsoverløb kunne medføre et lammelsesangreb gennem en fabrikeret bmp-fil.

  • CVE-2018-6616

    Alt for mange iterationer kunne medføre et lammelsesangreb gennem en fabrikeret bmp-fil.

  • CVE-2018-14423

    Division med nul-sårbarheder, kunne medføre et lammelsesangreb gennem en fabrikeret j2k-fil.

  • CVE-2018-18088

    En nullpointerdereference kunne medføre lammelsesangreb gennem en fabrikeret bmp-fil.

I den stabile distribution (stretch), er disse problemer rettet i version 2.1.2-1.1+deb9u3.

Vi anbefaler at du opgraderer dine openjpeg2-pakker.

For detaljeret sikkerhedsstatus vedrørende openjpeg2, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/openjpeg2