Danas popodne objavio je Canonical izvještaj u kojoj su detaljno opisani 5 sigurnosnih mana u openjpeg2 - JPEG 2000 biblioteci kompresije za kompresiju koja bi mogla uzrokovati pad Ubuntu-a ili još gore. U početku, nedostaci pronađeni u OpenJPEG utječu samo na Ubuntu 18.04 LTS, pa bi ostale dvije službene verzije koje još uvijek imaju službenu podršku, a to su Ubuntu 16.04 Xenial Xerus (u prošlosti su ispravljeni) i Ubuntu 19.04, najnovija verzija operativnog sistema Canonical koja je objavljena prošlog aprila.
Za razliku od nekih istraživača sigurnosti koji ranjivosti otpuštaju prije nego što ih poprave, Canonical otpušta sigurnosne nedostatke tek nakon objavljivanja zakrpa. Ukupno je ispravljeno 5 grešaka i sve bi se one mogle koristiti za uskraćivanje usluge (DoS). U jednoj od presuda to također spominju može omogućiti daljinsko izvršavanje koda.
OpenJPEG bug može omogućiti daljinsko izvršavanje koda
Ispravljene greške su:
- CVE-2017-17480: Otkriveno je da OpenJPEG nepravilno rukuje određenim PGX datotekama. Napadač bi mogao iskoristiti ovu manu da uzrokuje odbijanje usluge ili izvrši daljinsko izvršavanje koda.
- CVE-2018-14423: Otkriveno je da OpenJPEG nepravilno obrađuje određene datoteke. Napadač bi mogao iskoristiti ovu manu da izazove uskraćivanje usluge.
- CVE-2018-18088: Otkriveno je da OpenJPEG nepravilno obrađuje određene PNM datoteke. Napadač bi mogao iskoristiti ovu manu da izazove uskraćivanje usluge.
- CVE-2018-5785 y CVE-2018-6616: OpenJPEG je takođe pogrešno rukovao nekim BMP datotekama. Napadač bi mogao iskoristiti manu da izazove uskraćivanje usluge.
Zakrpe koje popravljaju ovih 5 grešaka već su dostupni u službenim spremištima Ubuntu 18.04 LTS. Datoteke za instaliranje su libopenjp2-7 – 2.3.0-2build0.18.04.1, libopenjp3d7 – 2.3.0-2build0.18.04.1 ylibopenjpip7 - 2.3.0-2build0.18.04.1. Da biste to učinili, jednostavno otvorite aplikaciju Ažuriranje softvera ili različite dostupne softverske centre i ažurirajte spomenute pakete.