Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

JasPer

Betroffene Plattformen:

Red Hat Fedora 24
Red Hat Fedora 25

Ein entfernter, nicht authentisierter Angreifer kann mit einer speziell
präparierten Datei eine Speicherschutzverletzung auslösen, wodurch die
Anwendung abstürzt und ein Denial-of-Service (DoS)-Zustand eintritt.

Für Fedora 24 und 25 stehen Sicherheitsupdates in Form der Pakete
‘jasper-1.900.13-2.fc24’ und ‘jasper-1.900.13-2.fc25’ im Status ‘testing’
bereit.

Patch:

Fedora Security Update FEDORA-2017-78a77d2450 (Fedora 25, jasper-1.900.13-2)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-78a77d2450

Patch:

Fedora Security Update FEDORA-2017-d90fac5c8f (Fedora 24, jasper-1.900.13-2)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-d90fac5c8f

CVE-2016-9583: Schwachstelle in JasPer ermöglicht Denial-of-Service-Angriff

In der Funktion ‘jpc_pi_nextpcrl()’ in JasPer existiert eine Schwachstelle,
die es ermöglicht den Heap-basierten Speicher zum Überlauf zu bringen und so
lesend auf Speicherbereiche außerhalb der zulässigen Grenzen zuzugreifen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0168/

Schwachstelle CVE-2016-9583 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9583

Fedora Security Update FEDORA-2017-78a77d2450 (Fedora 25, jasper-1.900.13-2):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-78a77d2450

Fedora Security Update FEDORA-2017-d90fac5c8f (Fedora 24, jasper-1.900.13-2):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d90fac5c8f

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.