Vulnerabilidad en la funcionalidad conversion o encoding en OpenJPEG (CVE-2020-27843)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
05/01/2021
Última modificación:
07/11/2023
Descripción
Se encontró un fallo en OpenJPEG en versiones anteriores a 2.4.0. Este fallo permite a un atacante proporcionar una entrada especialmente diseñada para la funcionalidad conversion o encoding, causando una lectura fuera de límites. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
7.10
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:uclouvain:openjpeg:*:*:*:*:*:*:*:* | 2.4.0 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:outside_in_technology:8.5.5:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugzilla.redhat.com/show_bug.cgi?id=1907516
- https://lists.debian.org/debian-lts-announce/2022/04/msg00006.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/WJUPGIZE6A4O52EBOF75MCXJOL6MUCRV/
- https://security.gentoo.org/glsa/202101-29
- https://www.debian.org/security/2021/dsa-4882
- https://www.oracle.com//security-alerts/cpujul2021.html
- https://www.oracle.com/security-alerts/cpuApr2021.html