Vulnerabilidad en la herramienta j2k_to_image en OpenJPEG (CVE-2016-9573)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
01/08/2018
Última modificación:
12/02/2023
Descripción
Se ha detectado una vulnerabilidad de lectura fuera de límites en OpenJPEG 2.1.2, en la herramienta j2k_to_image. La conversión de un archivo JPEG2000 especialmente manipulado a otro formato podría provocar que la aplicación se cierre inesperadamente o, potencialmente, revele algunos datos de la memoria dinámica (heap).
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:uclouvain:openjpeg:2.1.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_aus:7.3:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_aus:7.4:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_eus:7.3:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_eus:7.4:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://rhn.redhat.com/errata/RHSA-2017-0838.html
- http://www.securityfocus.com/bid/97073
- https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-9573
- https://github.com/szukw000/openjpeg/commit/7b28bd2b723df6be09fe7791eba33147c1c47d0d
- https://github.com/uclouvain/openjpeg/issues/862
- https://security.gentoo.org/glsa/201710-26
- https://www.debian.org/security/2017/dsa-3768