Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

JasPer < 2.0.14 Betroffene Plattformen: Red Hat Fedora 26 Red Hat Fedora 27 Eine Schwachstelle in JasPer ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs. Für Fedora 26 und 27 steht das Paket 'jasper-2.0.14-1' im Status 'testing' als Sicherheitsupdate bereit. Patch: Fedora Security Update FEDORA-2017-15819d2c37 (Fedora 27, jasper-2.0.14-1.fc27) https://bodhi.fedoraproject.org/updates/FEDORA-2017-15819d2c37

Patch:

Fedora Security Update FEDORA-2017-769793738f (Fedora 26,
jasper-2.0.14-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-769793738f

CVE-2017-1000050: Schwachstelle in JasPer ermöglicht
Denial-of-Service-Angriff

Weil Bilddateien innerhalb der Funktion ‘jp2_encode’ unzureichend darauf
überprüft werden, ob mindestens eine Komponente enthalten ist, existiert
eine Schwachstelle in JasPer. Ein entfernter, nicht authentisierter
Angreifer kann mit Hilfe einer präparierten Bilddatei die Schwachstelle
ausnutzen und eine NULL-Zeiger-Ausnahmesituation provozieren, in deren Folge
die Anwendung abstürzt (Denial-of-Service).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1633/

Schwachstelle CVE-2017-1000050 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000050

Fedora Security Update FEDORA-2017-15819d2c37 (Fedora 27,
jasper-2.0.14-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-15819d2c37

Fedora Security Update FEDORA-2017-769793738f (Fedora 26,
jasper-2.0.14-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-769793738f

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.