Vulnerabilidad en el archivo src/lib/openjp2/pi.c en la funcionalidad conversion/encoding en openjpeg (CVE-2020-27845)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
05/01/2021
Última modificación:
07/11/2023
Descripción
Se presenta un fallo en el archivo src/lib/openjp2/pi.c de openjpeg en versiones anteriores a 2.4.0. Si un atacante puede proporcionar una entrada que no sea confiable para la funcionalidad conversion/encoding de openjpeg, podría causar una lectura fuera de límites. El mayor impacto de este fallo es la disponibilidad de la aplicación
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:uclouvain:openjpeg:*:*:*:*:*:*:*:* | 2.4.0 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:outside_in_technology:8.5.5:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugzilla.redhat.com/show_bug.cgi?id=1907523
- https://lists.debian.org/debian-lts-announce/2021/02/msg00011.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/WJUPGIZE6A4O52EBOF75MCXJOL6MUCRV/
- https://security.gentoo.org/glsa/202101-29
- https://www.debian.org/security/2021/dsa-4882
- https://www.oracle.com//security-alerts/cpujul2021.html
- https://www.oracle.com/security-alerts/cpuApr2021.html