Mandriva Linux 安全性公告:openjpeg (MDVSA-2013:110)
critical Nessus Plugin ID 66122
語系:
概要
遠端 Mandriva Linux 主機缺少一或多個安全性更新。說明
更新版 openjpeg 套件可修正安全性弱點:在 OpenJPEG 的圖標編碼器/解碼器 (TCD) 實作方式中發現一個超出堆積型緩衝區邊界讀取與寫入瑕疵,會導致無效的釋放;OpenJPEG 是一款以 C 語言撰寫的開放原始碼 JPEG 2000 轉碼器,其實作是透過處理某些 Gray16 TIFF 影像以便 TCD 解碼器處理先前配置記憶體的釋放。遠端攻擊者可提供特製的 TIFF 影像檔,當使用連結 OpenJPEG 的應用程式 (例如「image_to_j2k」) 將該影像檔轉換為 JPEG 2000 檔案格式時,將會導致該應用程式損毀,或者可能以執行該應用程式的使用者權限來執行任意程式碼 (CVE-2009-5030)。
在 OpenJPEG 處理影像圖標標頭中圖標數與大小的方式中,發現導致堆積型緩衝區溢位的輸入驗證瑕疵。遠端攻擊者可提供特製的影像檔案,在使用連結到 OpenJPEG 的應用程式進行解碼時,可能會導致應用程式損毀,或可能會利用執行該應用程式的使用者權限執行任意程式碼 (CVE-2012-3358)。
據發現,OpenJPEG 無法在使用影像標頭欄位之前對其進行功能健全檢查。遠端攻擊者可提供特製的影像檔案,該檔案可能導致連結到 OpenJPEG 的應用程式損毀,或可執行任意程式碼 (CVE-2012-3535)。
解決方案
更新受影響的 lib64openjpeg-devel、lib64openjpeg1 和/或 openjpeg 套件。Plugin 詳細資訊
嚴重性: Critical
ID: 66122
檔案名稱: mandriva_MDVSA-2013-110.nasl
版本: 1.10
類型: local
已發布: 2013/4/20
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:mandriva:linux:lib64openjpeg-devel, p-cpe:/a:mandriva:linux:lib64openjpeg1, p-cpe:/a:mandriva:linux:openjpeg, cpe:/o:mandriva:business_server:1
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2013/4/10
參考資訊
CVE: CVE-2009-5030, CVE-2012-3358, CVE-2012-3535
MDVSA: 2013:110
MGASA: 2012-0152, 2012-0166, 2012-0274