リモートの Ubuntu 18.04LTS / 20.04LTS ホストには、USN-5631-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - rdtarga.c の read_pixel が EOF を誤って処理するため、libjpeg 9c には大きなループがあります。(CVE-2018-11813)

  - Libjpeg-turbo の全バージョンで、transform コンポーネントにスタックベースのバッファオーバーフローがあります。リモートの攻撃者が、無効な形式の jpeg ファイルをサービスに送信し、ターゲットサービスの任意のコード実行またはサービス拒否を引き起こす可能性があります。(CVE-2020-17541)

  - 細工された入力ファイルにより、libjpeg-turbo で処理される際に jjcopy_sample_rows() で null ポインターデリファレンスが引き起こされる可能性があります。(CVE-2020-35538)

  - libjpeg-turbo から 2.0.90 までの PPM リーダーは、16 ビットのバイナリ PPM ファイルをグレースケールバッファにロードし、16ビットのバイナリ PGM ファイルを RGB バッファにロードするための tjLoadImage の使用を不適切に処理します。これは、rdppm.c の get_word_rgb_row 関数のヒープベースのバッファオーバーフローに関連しています。(CVE-2021-46822)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Ubuntu 18.04LTS / 20.04LTS: libjpeg-turbo の脆弱性 (USN-5631-1)

high Nessus プラグイン ID 165321

バージョン 1.3