オープンソースのJPEG 2000コーデックであるopenjpeg2に、複数の脆弱性が発見されました。

CVE-2017-17480

fscanf呼び出しにおいてバッファ長のフォーマッターがないために発生する書き込みスタックベースのバッファオーバーフロー（jp3dおよびjpwlコーデック）。細工されたjp3dおよびjpwlファイルを使用するリモートの攻撃者がこの脆弱性を利用して、サービス拒否またはリモートコード実行を引き起こす可能性があります。

CVE-2018-18088

imagetopnmのNULL画像コンポーネントによって引き起こされるNULLポインターデリファレンス。この脆弱性をリモート攻撃者が悪用して、細工されたBMPファイルを使ってサービス拒否を引き起こす可能性があります。

Debian 8「Jessie」では、これらの問題はバージョン2.1.0-2+deb8u5で修正されました。

openjpeg2パッケージをアップグレードすることをお勧めします。

注: Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Debian DLA-1579-1: openjpeg2のセキュリティ更新

critical Nessus プラグイン ID 119052

変更ログが見つかりません