DFN-CERT-2016-0133 JasPer: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][SuSE]

DFN-CERT-2016-0133 JasPer: Zwei Schwachstellen ermöglichen Denial-of-Service-Angriffe [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

JasPer 1.900.1

Betroffene Plattformen:

openSUSE 13.1
openSUSE 13.2

Es existieren zwei Schwachstellen in JasPer, die einem entfernten, nicht
authentifizierten Angreifer über speziell präparierte Bilddateien vom Typ
‘JPEG 2000’ einen Denial-of-Service-Angriff ermöglichen. Eine der
Schwachstellen erlaubt möglicherweise das Ausführen beliebigen
Programmcodes.

Für die Distributionen openSUSE 13.1 und 13.2 stehen Sicherheitsupdates
bereit. Die Distribution openSUSE 13.2 ist nicht von CVE-2014-8318
betroffen.

Patch:

openSUSE Security Update openSUSE-SU-2016:0211-1

http://lists.opensuse.org/opensuse-updates/2016-01/msg00077.html

Patch:

openSUSE Security Update openSUSE-SU-2016:0217-1

http://lists.opensuse.org/opensuse-updates/2016-01/msg00083.html

CVE-2016-1867: Schwachstelle in JasPer ermöglicht Denial-of-Service-Angriff

Die Verarbeitung bestimmter Bilddateien vom Typ ‘JPEG 2000’ führt in der
Funktion ‘jpc_pi_nextcprl()’ in JasPer 1.900.1 zu einem Zugriff auf Speicher
außerhalb des zugewiesenen Bereichs (“out-of-bounds read”), wodurch es zu
einem Absturz der Anwendung kommt, die JasPer verwendet. Ein entfernter,
nicht authentifizierter Angreifer kann über speziell präparierte Dateien
einen Denial-of-Service (DoS)-Angriff ausführen.

CVE-2014-8138: Schwachstelle in JasPer ermöglicht Denial-of-Service-Angriff

Eine Heap-basierte Pufferspeicherüberlauf-Schwachstelle liegt in der Art
begründet, wie JasPer Bilddateien vom Typ ‘JPEG 2000’ dekodiert. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
mittels einer speziell präparierten Datei ausnutzen, um eine Anwendung, die
JasPer verwendet, zum Absturz zu bringen oder möglicherweise beliebigen
Programmcode auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0133/

Schwachstelle CVE-2014-8138 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8138

Schwachstelle CVE-2016-1867 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1867

openSUSE Security Update openSUSE-SU-2016:0211-1:
http://lists.opensuse.org/opensuse-updates/2016-01/msg00077.html

openSUSE Security Update openSUSE-SU-2016:0217-1:
http://lists.opensuse.org/opensuse-updates/2016-01/msg00083.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben