DFN-CERT-2015-0102 JasPer: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes [Linux]

DFN-CERT-2015-0102 JasPer: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

JasPer <= 1.900.1 Betroffene Plattformen: Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Mehrere Schwachstellen in JasPer ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Denial-of-Service-Angriffen oder die Ausführung beliebigen Programmcodes. Für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 14.10 stehen Sicherheitsupdates für JasPer bereit. Für Ubuntu 10.04 LTS steht ein Sicherheitsupdate für den PostScript- und PDF-Interpreter Ghostscript zur Verfügung, welcher die korrigierte JasPer Bibliothek integriert. Patch: Ubuntu Security Notice USN-2483-1 http://www.ubuntu.com/usn/usn-2483-1/

Patch:

Ubuntu Security Notice USN-2483-2

http://www.ubuntu.com/usn/usn-2483-2/

CVE-2014-8158: Schwachstelle in JasPer ermöglicht das Ausführen von
beliebigem Programmcode

Ein Schwachstelle in JasPer führt bei der Bearbeitung von JPEG 2000
Bild-Dateien zu einer unbeschränkten Verwendung von Stapel-Speicher. Ein
entfernter, nicht authentifizierter Angreifer kann, durch eine präparierte
Bild-Datei, einen Denial-of-Service-Angriff durch- oder beliebigen
Programmcode ausführen.

CVE-2014-8157: Schwachstelle in JasPer ermöglicht das Ausführen von
beliebigem Programmcode

Ein ‘Um-Eins-daneben’-Fehler (off-by-one) in JasPer führt, bei der
Bearbeitung von JPEG 2000 Bild-Dateien, zu einem Heap-basierten
Pufferüberlauf. Ein entfernter, nicht authentifizierter Angreifer kann,
durch eine präparierte Bild-Datei, einen Denial-of-Service-Angriff durch-
oder beliebigen Programmcode ausführen.

CVE-2014-8138: Heap-Buffer-Overflow-Schwachstelle in JasPer erlaubt
Denial-of-Service

Eine Heap-basierte Pufferspeicherüberlauf-Schwachstelle besteht darin, wie
JasPer JPEG 2000 Bilddateien dekodiert. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, mittels
einer speziell präparierten Datei, um eine Anwendung, welche JasPer
verwendet, zum Absturz zu bringen oder möglicherweise beliebigen
Programmcode auszuführen.

CVE-2014-8137: Double-Free-Schwachstelle in JasPer erlaubt Denial-of-Service

Eine Double-Free-Schwachstelle besteht darin, wie JasPer ICC-Farbprofile in
JPEG 2000 Bilddateien parsed. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, mittels einer speziell
präparierten Bilddatei, um eine Anwendung, welche JasPer verwendet, zum
Absturz zu bringen oder möglicherweise beliebigen Programmcode auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0102/

Schwachstelle CVE-2014-8137 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8137

Schwachstelle CVE-2014-8138 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8138

Schwachstelle CVE-2014-8157 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8157

Schwachstelle CVE-2014-8158 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8158

Ubuntu Security Notice USN-2483-1:
http://www.ubuntu.com/usn/usn-2483-1/

Ubuntu Security Notice USN-2483-2:
http://www.ubuntu.com/usn/usn-2483-2/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben