Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket openjpeg

Betroffene Plattformen:

Mandriva Linux 2011
Mandriva Linux 2011/X86_64

Schwachstellen in OpenJPEG erlauben einem entfernten Angreifer
schlimmstenfalls beliebigen Code zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://www.mandriva.com/security

CVE-2012-3358: Schwachstellen in OpenJPEG

Die Validierung und Verarbeitung von “image tile”-Headern ist in der
OpenJPEG-Bibliothek nicht fehlerfrei. Dies führt dazu, das ein
heap-basierter Buffer-Overflow auftritt. Einem entfernten Angreifer ist es
damit schlimmstenfalls möglich, beliebigen Code zur Ausführung zu bringen,
falls er einen Nutzer davon überzeugt, eine präparierte Bilddatei mit einer
Anwendung, die OpenJPEG verwendet, zu öffnen.

CVE-2009-5030: Schwachstelle in OpenJPEG

In der Implementierung des TCD (“tile code / decoder”) existiert eine
Schwachstelle, die dazu führt, dass bei Gray16-TIFF-Bildern ein ungültiges
free() ausgeführt wird. Einem entfernten Angreifer ist es damit möglich,
schlimmstenfalls beliebigen Code zur Ausführung zu bringen, falls er einen
Nutzer dazu bringt, eine speziell präparierte Bilddatei zu öffnen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1354/

Das Hersteller Advisory:
http://www.mandriva.com/security/advisories?name=MDVSA-2012:104

Schwachstelle CVE-2009-5030:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-5030

Schwachstelle CVE-2012-3358:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3358

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.