検出

SUSE SLED12 / SLES12セキュリティ更新プログラム:jasper(SUSE-SU-2016:2775-1)

high Nessus プラグイン ID 94728

Language:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

このバージョン 1.900.14 への jasperの更新プログラムでは、いくつかの問題が修正されます。これらのセキュリティの問題が修正されました:

 - CVE-2016-8887: jp2_colr_destroy(jp2_cod.c)でのNULLポインターデリファレンス(bsc#1006836)

 - CVE-2016-8886:jas_malloc(jas_malloc.c)でのメモリ割り当ての失敗(bsc#1006599)

 - CVE-2016-8884、CVE-2016-8885:bmp_getdataでの2つのNULLポインターデリファレンス(CVE-2016-8690の不完全な修正)(bsc#1007009)

 - CVE-2016-8883:jpc_dec_tiledecode()でのアサート(bsc#1006598)

 - CVE-2016-8882:jpc_pi_destroyでのセグメンテーション違反/NULLポインターアクセス(bsc#1006597)

 - CVE-2016-8881:jpc_getuint16()でのヒープオーバーフロー(bsc#1006593)

 - CVE-2016-8880:jpc_dec_cp_setfromcox()でのヒープオーバーフロー(bsc#1006591)

 - CVE-2016-8693 mem_closeでの二重解放の脆弱性(bsc#1005242)

 - CVE-2016-8691、CVE-2016-8692:jpc_dec_process_sizでのゼロ除算(bsc#1005090)

 - CVE-2016-8690:細工されたBMP画像によって引き起こされるbmp_getdataでのNULLポインターデリファレンス(bsc#1005084)

 - CVE-2016-2116:JasPerのjas_iccprof_createfrombuf関数でのメモリリークにより、リモート攻撃者が function in allowed remote attackers to cause a denial of service (memory consumption) via a crafted ICC color profile in a JPEG 2000 image file (bsc#968373)

 - CVE-2016-2089:JasPer の jas_matrix_clip() 関数での無効な読み取り(bsc#963983)

 - CVE-2016-1867:JasPer'のjpc_pi_nextcprl()関数での領域外読み取り(bsc#961886)

 - CVE-2015-5221:Jasper JPEG-200におけるのuse-after-free(および二重解放)(bsc#942553)。

 - CVE-2015-5203:JasPer JPEG-2000実装における二重解放の破損(bsc#941919)

 - CVE-2008-3522:JasPerのlibjasper/base/jas_stream.cにあるjas_stream_printf関数でのバッファオーバーフローにより、コンテキスト依存の攻撃者が、mif_hdr_put関数およびvsprintfの使用に関連するベクトルを通じて、未知の影響を与えることができる可能性があります(bsc#392410)

 - jasper: jp2_colr_destroy(jp2_cod.c)でのNULLポインターでリファレンス(CVE-2016-8887の不完全な修正)(bsc#1006839)その他の変更の説明については、変更ログを参照してください。

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

この SUSE セキュリティ更新をインストールするには、YaST online_update を使用してください。
別の方法として、製品にリストされているコマンドを実行することができます:

SUSE Linux Enterprise ソフトウェア開発キット12-SP2:zypper in -t patch SUSE-SLE-SDK-12-SP2-2016-1639=1

SUSE Linux Enterprise ソフトウェア開発キット 12-SP1:zypper in -t patch SUSE-SLE-SDK-12-SP1-2016-1639=1

SUSE Linux Enterprise Server for Raspberry Pi 12-SP2:zypper in -t patch SUSE-SLE-RPI-12-SP2-2016-1639=1

SUSE Linux Enterprise Server 12-SP2:zypper in -t patch SUSE-SLE-SERVER-12-SP2-2016-1639=1

SUSE Linux Enterprise Server 12-SP1:zypper in -t patch SUSE-SLE-SERVER-12-SP1-2016-1639=1

SUSE Linux Enterprise Desktop 12-SP2:zypper in -t patch SUSE-SLE-DESKTOP-12-SP2-2016-1639=1

SUSE Linux Enterprise Desktop 12-SP1:zypper in -t patch SUSE-SLE-DESKTOP-12-SP1-2016-1639=1

お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=1006836

https://bugzilla.suse.com/show_bug.cgi?id=1006839

https://bugzilla.suse.com/show_bug.cgi?id=1007009

https://bugzilla.suse.com/show_bug.cgi?id=392410

https://bugzilla.suse.com/show_bug.cgi?id=941919

https://bugzilla.suse.com/show_bug.cgi?id=942553

https://bugzilla.suse.com/show_bug.cgi?id=961886

https://bugzilla.suse.com/show_bug.cgi?id=963983

https://bugzilla.suse.com/show_bug.cgi?id=968373

https://www.suse.com/security/cve/CVE-2008-3522/

https://www.suse.com/security/cve/CVE-2014-8158/

https://www.suse.com/security/cve/CVE-2015-5203/

https://www.suse.com/security/cve/CVE-2015-5221/

https://www.suse.com/security/cve/CVE-2016-1577/

https://www.suse.com/security/cve/CVE-2016-1867/

https://www.suse.com/security/cve/CVE-2016-2089/

https://www.suse.com/security/cve/CVE-2016-2116/

https://www.suse.com/security/cve/CVE-2016-8690/

https://www.suse.com/security/cve/CVE-2016-8691/

https://www.suse.com/security/cve/CVE-2016-8692/

https://www.suse.com/security/cve/CVE-2016-8693/

https://www.suse.com/security/cve/CVE-2016-8880/

https://www.suse.com/security/cve/CVE-2016-8881/

https://www.suse.com/security/cve/CVE-2016-8882/

https://www.suse.com/security/cve/CVE-2016-8883/

https://www.suse.com/security/cve/CVE-2016-8884/

https://www.suse.com/security/cve/CVE-2016-8885/

https://www.suse.com/security/cve/CVE-2016-8886/

https://www.suse.com/security/cve/CVE-2016-8887/

http://www.nessus.org/u?c3af566f

https://bugzilla.suse.com/show_bug.cgi?id=1005084

https://bugzilla.suse.com/show_bug.cgi?id=1005090

https://bugzilla.suse.com/show_bug.cgi?id=1005242

https://bugzilla.suse.com/show_bug.cgi?id=1006591

https://bugzilla.suse.com/show_bug.cgi?id=1006593

https://bugzilla.suse.com/show_bug.cgi?id=1006597

https://bugzilla.suse.com/show_bug.cgi?id=1006598

https://bugzilla.suse.com/show_bug.cgi?id=1006599

プラグインの詳細

深刻度: High

ID: 94728

ファイル名: suse_SU-2016-2775-1.nasl

バージョン: 2.10

タイプ: local

エージェント: unix

公開日: 2016/11/11

更新日: 2021/1/6

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:jasper-debuginfo, p-cpe:/a:novell:suse_linux:libjasper1-debuginfo, p-cpe:/a:novell:suse_linux:jasper-debugsource, p-cpe:/a:novell:suse_linux:libjasper1, cpe:/o:novell:suse_linux:12

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2016/11/10

脆弱性公開日: 2008/10/2

参照情報

CVE: CVE-2008-3522, CVE-2014-8158, CVE-2015-5203, CVE-2015-5221, CVE-2016-1577, CVE-2016-1867, CVE-2016-2089, CVE-2016-2116, CVE-2016-8690, CVE-2016-8691, CVE-2016-8692, CVE-2016-8693, CVE-2016-8880, CVE-2016-8881, CVE-2016-8882, CVE-2016-8883, CVE-2016-8884, CVE-2016-8885, CVE-2016-8886, CVE-2016-8887

BID: 31470, 72293

CWE: 119