公告ID(KYSA-202208-1108)
公告ID:KYSA-202208-1108
公告摘要:jasper安全漏洞
安全等級(jí):Important
發(fā)布日期:2022/8/15
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2015-5203
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)��。JasPer 1.900.17版本中‘jasper_image_stop_load’函數(shù)存在雙重釋放漏洞。遠(yuǎn)程攻擊者可借助特制的JPEG 2000圖像文件利用該漏洞造成拒絕服務(wù)(崩潰)���。
·CVE-2015-5221
描述:JasPer JPEG-2000 library是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)開(kāi)源的JPEG-2000編碼庫(kù)。JasPer JPEG-2000 library 1.900.2之前的版本中的libjasper/mif/mif_cod.c文件的‘mif_process_cmpt’函數(shù)存在釋放后重用漏洞����。遠(yuǎn)程攻擊者可借助特制的JPEG 2000圖像文件利用該漏洞造成拒絕服務(wù)(崩潰)。
·CVE-2016-10248
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)���。JasPer 1.900.9之前的版本中的jpc_tsfb.c文件中的‘jpc_tsfb_synthesize’函數(shù)存在安全漏洞�����。遠(yuǎn)程攻擊者可利用該漏洞造成拒絕服務(wù)(空指針逆向引用)����。
·CVE-2016-10249
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)���。JasPer 1.900.12之前版本中的jpc_dec.c文件中的‘jpc_dec_tiledecode’函數(shù)存在整數(shù)溢出漏洞�。遠(yuǎn)程攻擊者可借助特制的圖像文件利用該漏洞造成拒絕服務(wù)。
·CVE-2016-10251
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)�。JasPer 1.900.20之前版本中的jpc_t2cod.c文件中的‘jpc_pi_nextcprl’函數(shù)存在整數(shù)溢出漏洞。遠(yuǎn)程攻擊者可借助特制的文件利用該漏洞造成拒絕服務(wù)���。
·CVE-2016-1577
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)。JasPer 1.900.1及之前版本的‘jas_iccattrval_destroy’函數(shù)中存在雙重釋放漏洞�����。遠(yuǎn)程攻擊者可借助JPEG 2000圖像文件中特制的ICC顏色配置利用該漏洞造成拒絕服務(wù)(崩潰)�����,或執(zhí)行任意代碼�����。
·CVE-2016-1867
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)����。JasPer 1.900.1版本的‘jpc_pi_nextcprl’函數(shù)中存在安全漏洞。遠(yuǎn)程攻擊者可借助特制的JPEG 2000圖像利用該漏洞造成拒絕服務(wù)(越邊界讀取和應(yīng)用程序崩潰)��。
·CVE-2016-2089
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)�。JasPer 1.900.1版本的jas_seq.c文件中的‘jas_matrix_clip’函數(shù)存在安全漏洞。遠(yuǎn)程攻擊者可借助特制的JPEG 2000圖像利用該漏洞造成拒絕服務(wù)(無(wú)效的讀取和應(yīng)用程序崩潰)。
·CVE-2016-2116
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)����。JasPer 1.900.1及之前版本的‘jas_iccprof_createfrombuf’函數(shù)中存在內(nèi)存泄露漏洞。遠(yuǎn)程攻擊者可借助JPEG 2000圖像文件中特制的ICC顏色配置利用該漏洞造成拒絕服務(wù)(內(nèi)存消耗)���。
·CVE-2016-8654
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)��。JPC codec是其中的一個(gè)JPC(圖片格式)編解碼器�����。JasPer 2.0.0之前版本中的JPC codec的QMFB代碼存在基于堆的緩沖區(qū)溢出漏洞�,該漏洞源于程序沒(méi)有對(duì)用戶提交的輸入執(zhí)行充分的邊界檢查����。遠(yuǎn)程攻擊者可利用該漏洞在應(yīng)用程序上下文中執(zhí)行任意代碼或造成拒絕服務(wù)。
·CVE-2016-8690
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)�����。JasPer 1.900.5之前的版本中的libjasper/bmp/bmp_dec.c文件的‘bmp_getdata’函數(shù)存在安全漏洞����。遠(yuǎn)程攻擊者可借助imginfo命令中特制的BMP圖片利用該漏洞造成拒絕服務(wù)(空指針逆向引用)����。
·CVE-2016-8691
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)����。JasPer 1.900.4之前的版本中的libjasper/jpc/jpc_dec.c文件的‘jpc_dec_process_siz’函數(shù)存在安全漏洞。遠(yuǎn)程攻擊者可通過(guò)向imginfo發(fā)送特制的BMP圖片利用該漏洞造成拒絕服務(wù)(除零錯(cuò)誤和應(yīng)用程序崩潰)�����。
·CVE-2016-8692
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)���。JasPer 1.900.4之前的版本中的libjasper/jpc/jpc_dec.c文件的‘jpc_dec_process_siz’函數(shù)存在安全漏洞。遠(yuǎn)程攻擊者可通過(guò)向imginfo發(fā)送特制的BMP圖片利用該漏洞造成拒絕服務(wù)(除零錯(cuò)誤和應(yīng)用程序崩潰)����。
·CVE-2016-8693
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)。JasPer 1.900.10之前的版本中的jas_stream.c文件的‘mem_close’函數(shù)存在雙重釋放漏洞��。遠(yuǎn)程攻擊者可通過(guò)向imginfo發(fā)送特制的BMP圖片利用該漏洞造成拒絕服務(wù)(崩潰)�。
·CVE-2016-8883
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)。JasPer 1.900.8之前的版本中的jpc_dec.c文件的‘jpc_dec_tiledecode’函數(shù)存在安全漏洞�。遠(yuǎn)程攻擊者可借助特制的文件利用該漏洞造成拒絕服務(wù)(斷言失敗)����。
·CVE-2016-8884
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)����。JasPer 1.900.5版本中的libjasper/bmp/bmp_dec.c文件的‘bmp_getdata’函數(shù)存在安全漏洞�。遠(yuǎn)程攻擊者可通過(guò)特制的BMP圖片來(lái)調(diào)用imginfo命令利用該漏洞造成拒絕服務(wù)(空指針逆向引用)。
·CVE-2016-8885
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)�����。JasPer 1.900.9之前版本中的libjasper/bmp/bmp_dec.c文件的‘bmp_getdata’函數(shù)存在安全漏洞����。遠(yuǎn)程攻擊者可借助特制的BMP圖像利用該漏洞造成拒絕服務(wù)(空指針逆向引用)。
·CVE-2016-9262
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)�。JasPer 1.900.22之前的版本中的jas_realloc function in base/jas_malloc.c和mem_resize function in base/jas_stream.c文件中存在整數(shù)溢出漏洞。遠(yuǎn)程攻擊者可借助特制的圖像文件利用該漏洞造成拒絕服務(wù)���。
·CVE-2016-9387
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)�����。JasPer 1.900.13之前的版本中的libjasper/jpc/jpc_dec.c文件的‘jpc_dec_process_siz’函數(shù)存在整數(shù)溢出漏洞�����。遠(yuǎn)程攻擊者可利用該漏洞執(zhí)行任意代碼����,造成拒絕服務(wù)。
·CVE-2016-9388
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)���。JasPer 1.900.14之前的版本中的ras_dec.c文件的‘ras_getcmap’函數(shù)存在安全漏洞����。遠(yuǎn)程攻擊者可借助特制的圖像文件利用該漏洞造成拒絕服務(wù)(聲明失?����。?���。
·CVE-2016-9389
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)����。JasPer 1.900.14之前的版本中的jpc_mct.c文件的‘jpc_irct’和‘jpc_iict’函數(shù)存在安全漏洞。遠(yuǎn)程攻擊者可利用該漏洞造成拒絕服務(wù)(聲明失?�。?��。
·CVE-2016-9390
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)���。JasPer 1.900.14之前的版本中的jas_seq.c文件的‘jas_seq2d_create’函數(shù)存在安全漏洞�����。遠(yuǎn)程攻擊者可借助特制的圖像文件利用該漏洞造成拒絕服務(wù)(聲明失?���。?��。
·CVE-2016-9391
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)����。JasPer 2.0.10之前的版本中的jpc_bs.c文件的‘jpc_bitstream_getbits’函數(shù)存在安全漏洞���。遠(yuǎn)程攻擊者可利用該漏洞造成拒絕服務(wù)(聲明失?��。?·CVE-2016-9392
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)�����。JasPer 1.900.17之前的版本中的jpc_dec.c文件的‘calcstepsizes’函數(shù)存在安全漏洞。遠(yuǎn)程攻擊者可借助特制的文件利用該漏洞造成拒絕服務(wù)(聲明失?。?·CVE-2016-9393
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)�����。JasPer 1.900.17之前的版本中的jpc_t2cod.c文件的‘jpc_pi_nextrpcl’函數(shù)存在安全漏洞��。遠(yuǎn)程攻擊者可借助特制的文件利用該漏洞造成拒絕服務(wù)(聲明失?�。?。
·CVE-2016-9394
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)。JasPer 1.900.17之前的版本中的jas_seq.c文件的‘jas_seq2d_create’函數(shù)存在安全漏洞��。遠(yuǎn)程攻擊者可借助特制的文件利用該漏洞造成拒絕服務(wù)(聲明失?���。?��。
·CVE-2016-9396
描述:JasPer是加拿大Michael Adams軟件開(kāi)發(fā)者的一個(gè)JPEG-2000編解碼器的開(kāi)源實(shí)現(xiàn)�。JasPer 1.900.12之前的版本中的jpc_t1cod.c文件的‘JPC_NOMINALGAIN’函數(shù)存在安全漏洞�����。遠(yuǎn)程攻擊者可借助特制的文件利用該漏洞造成拒絕服務(wù)(聲明失敗)����。
·CVE-2016-9560
描述:JasPer是Michael Adams個(gè)人開(kāi)發(fā)者的一個(gè)基于C的用于處理圖像的工具。該軟件支持ISO / IEC 15444-1中定義的JPEG-2000格式�����,主要用于圖像的編碼和處理�。JasPer 1.900.30之前的版本中的jpc_tsfb.c文件的‘jpc_tsfb_getbands2’函數(shù)存在緩沖區(qū)錯(cuò)誤漏洞。遠(yuǎn)程攻擊者可利用該漏洞在受影響的應(yīng)用程序上下文中執(zhí)行任意代碼�。
·CVE-2016-9583
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)。JasPer 2.0.0版本至2.0.5版本中的jpc_t2cod.c文件的‘jpc_pi_nextpcrl()’函數(shù)存在越界讀取漏洞�。遠(yuǎn)程攻擊者可借助特制的輸入利用該漏洞在受影響應(yīng)用程序上下文中執(zhí)行任意代碼或造成拒絕服務(wù)。
·CVE-2016-9591
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)���。JasPer 2.0.12之前版本中JPEG 2000圖像的解碼方法存在釋放后重用漏洞���。攻擊者可借助利用該漏洞造成拒絕服務(wù)(崩潰)。
·CVE-2016-9600
描述:JasPer是加拿大軟件開(kāi)發(fā)者M(jìn)ichael Adams所研發(fā)的一個(gè)JPEG-2000編/解碼器的開(kāi)源實(shí)現(xiàn)��。JasPer 2.0.10之前版本中存在安全漏洞��。攻擊者可借助特制的文件利用該漏洞造成拒絕服務(wù)(崩潰)。
·CVE-2017-1000050
描述:JasPer是Michael Adams個(gè)人開(kāi)發(fā)者的一個(gè)基于C的用于處理圖像的工具��。該軟件支持ISO / IEC 15444-1中定義的JPEG-2000格式����,主要用于圖像的編碼和處理。JasPer 2.0.12版本中的‘jp2_encode’函數(shù)存在代碼問(wèn)題漏洞����。攻擊者可利用該漏洞造成拒絕服務(wù)。
2.受影響的軟件包
·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7
aarch64架構(gòu):
jasper����、jasper-devel、jasper-libs�、jasper-utils
x86_64架構(gòu):
jasper、jasper-devel���、jasper-libs����、jasper-utils
3.軟件包修復(fù)版本
·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7
jasper-1.900.1-33.el7
jasper-devel-1.900.1-33.el7
jasper-libs-1.900.1-33.el7
jasper-utils-1.900.1-33.el7
4.修復(fù)方法
方法一:配置源進(jìn)行升級(jí)安裝
166.打開(kāi)軟件包源配置文件��,根據(jù)倉(cāng)庫(kù)地址進(jìn)行修改�����。
倉(cāng)庫(kù)源地址:
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7
aarch64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/
167.配置完成后執(zhí)行更新命令進(jìn)行升級(jí)���,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級(jí)安裝
通過(guò)軟件包地址下載軟件包�����,使用軟件包升級(jí)命令根據(jù)受影響的軟件包
列表進(jìn)行升級(jí)安裝,命令如下:
yum install Packagename
168.升級(jí)完成后是否需要重啟服務(wù)或操作系統(tǒng):
·CVE-2015-5203:需要重啟 jasper 以使漏洞修復(fù)生效����。
·CVE-2015-5221:需要重啟 jasper 以使漏洞修復(fù)生效�。
·CVE-2016-10248:需要重啟 jasper 以使漏洞修復(fù)生效。
·CVE-2016-10249:需要重啟 jasper 以使漏洞修復(fù)生效���。
·CVE-2016-10251:需要重啟 jasper 以使漏洞修復(fù)生效�。
·CVE-2016-1577:需要重啟 jasper 以使漏洞修復(fù)生效����。
·CVE-2016-1867:需要重啟 jasper 以使漏洞修復(fù)生效。
·CVE-2016-2089:需要重啟 jasper 以使漏洞修復(fù)生效��。
·CVE-2016-2116:需要重啟 jasper 以使漏洞修復(fù)生效�����。
·CVE-2016-8654:需要重啟 jasper 以使漏洞修復(fù)生效。
·CVE-2016-8690:需要重啟 jasper 以使漏洞修復(fù)生效��。
·CVE-2016-8691:需要重啟 jasper 以使漏洞修復(fù)生效�。
·CVE-2016-8692:需要重啟 jasper 以使漏洞修復(fù)生效。
·CVE-2016-8693:需要重啟 jasper 以使漏洞修復(fù)生效�����。
·CVE-2016-8883:需要重啟 jasper 以使漏洞修復(fù)生效��。
·CVE-2016-8884:需要重啟 jasper 以使漏洞修復(fù)生效���。
·CVE-2016-8885:需要重啟 jasper 以使漏洞修復(fù)生效�����。
·CVE-2016-9262:需要重啟 jasper 以使漏洞修復(fù)生效���。
·CVE-2016-9387:需要重啟 jasper 以使漏洞修復(fù)生效。
·CVE-2016-9388:需要重啟 jasper 以使漏洞修復(fù)生效�。
·CVE-2016-9389:需要重啟 jasper 以使漏洞修復(fù)生效。
·CVE-2016-9390:需要重啟 jasper 以使漏洞修復(fù)生效�����。
·CVE-2016-9391:需要重啟 jasper 以使漏洞修復(fù)生效��。
·CVE-2016-9392:需要重啟 jasper 以使漏洞修復(fù)生效��。
·CVE-2016-9393:需要重啟 jasper 以使漏洞修復(fù)生效���。
·CVE-2016-9394:需要重啟 jasper 以使漏洞修復(fù)生效��。
·CVE-2016-9396:需要重啟 jasper 以使漏洞修復(fù)生效�����。
·CVE-2016-9560:需要重啟 jasper 以使漏洞修復(fù)生效���。
·CVE-2016-9583:需要重啟 jasper 以使漏洞修復(fù)生效。
·CVE-2016-9591:需要重啟 jasper 以使漏洞修復(fù)生效�。
·CVE-2016-9600:需要重啟 jasper 以使漏洞修復(fù)生效。
·CVE-2017-1000050:需要重啟 jasper 以使漏洞修復(fù)生效��。
5.軟件包下載地址
·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7
jasper(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/aarch64/Packages/jasper-1.900.1-33.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/aarch64/Packages/jasper-devel-1.900.1-33.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/aarch64/Packages/jasper-libs-1.900.1-33.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/aarch64/Packages/jasper-utils-1.900.1-33.el7.aarch64.rpm
jasper(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/jasper-1.900.1-33.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/jasper-1.900.1-33.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/jasper-devel-1.900.1-33.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/jasper-devel-1.900.1-33.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/jasper-libs-1.900.1-33.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/jasper-libs-1.900.1-33.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/jasper-utils-1.900.1-33.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/jasper-utils-1.900.1-33.el7.x86_64.rpm
注:其他相關(guān)依賴包請(qǐng)到相同目錄下載
6.修復(fù)驗(yàn)證
使用軟件包查詢命令�,查看相關(guān)軟件包版本是否與修復(fù)版本一致,如果版本一致��,則說(shuō)明修復(fù)成功。
sudo rpm -qa | grep Packagename
