openSUSEセキュリティ更新プログラム:jasper(openSUSE-2016-1309)
high Nessus プラグイン ID 94945
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このバージョン 1.900.14 への jasperの更新プログラムでは、いくつかの問題が修正されます。これらのセキュリティの問題が修正されました:
- CVE-2016-8887:jp2_colr_destroy(jp2_cod.c)でのNULLポインターデリファレンス(bsc#1006836)
- CVE-2016-8886:jas_malloc(jas_malloc.c)でのメモリ割り当ての失敗(bsc#1006599)
- CVE-2016-8884、CVE-2016-8885:bmp_getdataでの2つのNULLポインターデリファレンス(CVE-2016-8690の不完全な修正)(bsc#1007009)
- CVE-2016-8883:jpc_dec_tiledecode()でのアサート(bsc#1006598)
- CVE-2016-8882:jpc_pi_destroyでのセグメンテーション違反/NULLポインターアクセス(bsc#1006597)
- CVE-2016-8881:jpc_getuint16()でのヒープオーバーフロー(bsc#1006593)
- CVE-2016-8880:jpc_dec_cp_setfromcox()でのヒープオーバーフロー(bsc#1006591)
- CVE-2016-8693 mem_closeでの二重解放の脆弱性(bsc#1005242)
- CVE-2016-8691、CVE-2016-8692:jpc_dec_process_sizでのゼロ除算(bsc#1005090)
- CVE-2016-8690:細工されたBMP画像によって引き起こされるbmp_getdataでのNULLポインターデリファレンス(bsc#1005084)
- CVE-2016-2116:JasPerのjas_iccprof_createfrombuf関数でのメモリリークにより、リモート攻撃者がJPEG 2000画像ファイルに含まれる細工されたICCカラープロファイルを使用して、サービス拒否(クラッシュ)を引き起こす可能性があります(bsc#968373)
- CVE-2016-2089:JasPer の jas_matrix_clip() 関数での無効な読み取り(bsc#963983)
- CVE-2016-1867:JasPer'のjpc_pi_nextcprl()関数での領域外読み取り(bsc#961886)
- CVE-2015-5221:Jasper JPEG-200におけるのuse-after-free(および二重解放)(bsc#942553)。
- CVE-2015-5203:JasPer JPEG-2000実装における二重解放の破損(bsc#941919)
- CVE-2008-3522:JasPerのlibjasper/base/jas_stream.cにあるjas_stream_printf関数でのバッファオーバーフローにより、コンテキスト依存の攻撃者が、mif_hdr_put関数およびvsprintfの使用に関連するベクトルを通じて、未知の影響を与えることができる可能性があります(bsc#392410)
- jasper: jp2_colr_destroy(jp2_cod.c)でのNULLポインターデリファレンス(CVE-2016-8887の不完全な修正)(bsc#1006839)
その他の変更の説明については、変更ログを参照してください。
この更新はSUSEからインポートされました:SLE-12:更新プロジェクトを更新します。
ソリューション
影響を受けるjasperパッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1005084
https://bugzilla.opensuse.org/show_bug.cgi?id=1005090
https://bugzilla.opensuse.org/show_bug.cgi?id=1005242
https://bugzilla.opensuse.org/show_bug.cgi?id=1006591
https://bugzilla.opensuse.org/show_bug.cgi?id=1006593
https://bugzilla.opensuse.org/show_bug.cgi?id=1006597
https://bugzilla.opensuse.org/show_bug.cgi?id=1006598
https://bugzilla.opensuse.org/show_bug.cgi?id=1006599
https://bugzilla.opensuse.org/show_bug.cgi?id=1006836
https://bugzilla.opensuse.org/show_bug.cgi?id=1006839
https://bugzilla.opensuse.org/show_bug.cgi?id=1007009
https://bugzilla.opensuse.org/show_bug.cgi?id=392410
https://bugzilla.opensuse.org/show_bug.cgi?id=941919
https://bugzilla.opensuse.org/show_bug.cgi?id=942553
https://bugzilla.opensuse.org/show_bug.cgi?id=961886
プラグインの詳細
深刻度: High
ID: 94945
ファイル名: openSUSE-2016-1309.nasl
バージョン: 2.5
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2016/11/18
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: High
基本値: 7.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:jasper-debuginfo, p-cpe:/a:novell:opensuse:libjasper-devel, p-cpe:/a:novell:opensuse:libjasper1-32bit, p-cpe:/a:novell:opensuse:libjasper1, p-cpe:/a:novell:opensuse:libjasper1-debuginfo, p-cpe:/a:novell:opensuse:libjasper1-debuginfo-32bit, p-cpe:/a:novell:opensuse:jasper, cpe:/o:novell:opensuse:42.1, cpe:/o:novell:opensuse:42.2, p-cpe:/a:novell:opensuse:jasper-debugsource
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2016/11/17
参照情報
CVE: CVE-2008-3522, CVE-2014-8158, CVE-2015-5203, CVE-2015-5221, CVE-2016-1577, CVE-2016-1867, CVE-2016-2089, CVE-2016-2116, CVE-2016-8690, CVE-2016-8691, CVE-2016-8692, CVE-2016-8693, CVE-2016-8880, CVE-2016-8881, CVE-2016-8882, CVE-2016-8883, CVE-2016-8884, CVE-2016-8885, CVE-2016-8886, CVE-2016-8887
CWE: 119