UPDATE: DFN-CERT-2015-0102 JasPer: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes [Linux][SuSE]

UPDATE: DFN-CERT-2015-0102 JasPer: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (08.12.2015):
Für SUSE Linux Enterprise 11 SP3 stehen für Software Development Kit,
Server, Server für VMware und Desktop Sicherheitsupdates bereit.
Version 1 (26.01.2015):
Neues Advisory

Betroffene Software:

JasPer <= 1.900.1 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 11 SP3 Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware Mehrere Schwachstellen in JasPer ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Denial-of-Service-Angriffen oder die Ausführung beliebigen Programmcodes. Für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 14.10 stehen Sicherheitsupdates für JasPer bereit. Für Ubuntu 10.04 LTS steht ein Sicherheitsupdate für den PostScript- und PDF-Interpreter Ghostscript zur Verfügung, welcher die korrigierte JasPer Bibliothek integriert. Patch: Ubuntu Security Notice USN-2483-1 http://www.ubuntu.com/usn/usn-2483-1/

Patch:

Ubuntu Security Notice USN-2483-2

http://www.ubuntu.com/usn/usn-2483-2/

Patch:

SUSE Security Update SUSE-SU-2015:0258-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150258-1.html

CVE-2014-8158: Schwachstelle in JasPer ermöglicht das Ausführen beliebigen
Programmcodes

Ein Schwachstelle in JasPer führt bei der Bearbeitung von
JPEG2000-Bilddateien zu einer unbeschränkten Verwendung von Stapel-Speicher.
Ein entfernter, nicht authentifizierter Angreifer kann, durch eine
präparierte Bilddatei, einen Denial-of-Service-Angriff durch- oder
beliebigen Programmcode ausführen.

CVE-2014-8157: Schwachstelle in JasPer ermöglicht das Ausführen beliebigen
Programmcodes

Ein ‘Um-Eins-daneben’-Fehler (off-by-one) in JasPer führt, bei der
Bearbeitung von JPEG2000-Bilddateien, zu einem Heap-basierten
Pufferüberlauf. Ein entfernter, nicht authentifizierter Angreifer kann,
durch eine präparierte Bilddatei, einen Denial-of-Service-Angriff durch-
oder beliebigen Programmcode ausführen.

CVE-2014-8138: Heap-Pufferüberlauf-Schwachstelle in JasPer erlaubt
Denial-of-Service

Eine Heap-basierte Pufferspeicherüberlauf-Schwachstelle besteht darin, wie
JasPer JPEG2000-Bilddateien dekodiert. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, mittels
einer speziell präparierten Datei, um eine Anwendung, welche JasPer
verwendet, zum Absturz zu bringen oder möglicherweise beliebigen
Programmcode auszuführen.

CVE-2014-8137: Double-Free-Schwachstelle in JasPer erlaubt Denial-of-Service

Eine Double-Free-Schwachstelle besteht darin, wie JasPer ICC-Farbprofile in
JPEG2000-Bilddateien parst. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, mittels einer speziell
präparierten Bilddatei, um eine Anwendung, welche JasPer verwendet, zum
Absturz zu bringen oder möglicherweise beliebigen Programmcode auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0102/

Schwachstelle CVE-2014-8137 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8137

Schwachstelle CVE-2014-8138 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8138

Schwachstelle CVE-2014-8157 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8157

Schwachstelle CVE-2014-8158 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8158

Ubuntu Security Notice USN-2483-1:
http://www.ubuntu.com/usn/usn-2483-1/

Ubuntu Security Notice USN-2483-2:
http://www.ubuntu.com/usn/usn-2483-2/

SUSE Security Update SUSE-SU-2015:0258-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150258-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben