Varios fallos de seguridad en OpenJPEG podían provocar bloqueos en Ubuntu 18.04

Fallo de seguridad en OpenJPEG

Esta tarde, Canonical ha publicado un informe en el que se detallan 5 fallos de seguridad en la librería de compresión descompresión openjpeg2 – JPEG 2000 que podían provocar que Ubuntu se bloqueara o algo peor. En un principio, los fallos encontrados en OpenJPEG afectan solo a Ubuntu 18.04 LTS, por lo que se librarían las otras dos versiones oficiales que aún cuentan con soporte oficial, que son Ubuntu 16.04 Xenial Xerus (se corrigieron en el pasado) y Ubuntu 19.04, la última versión del sistema operativo de Canonical que fue lanzada el pasado abril.

A diferencia de lo que hacen algunos investigadores de seguridad que publican las vulnerabilidades antes de que sean corregidas, Canonical solo publica los fallos de seguridad cuando ya han lanzado los parches. En total se han corregido 5 fallos y todos ellos podrían usarse para causar denegación del servicio (DoS). En uno de los fallos, también mencionan que podría permitir ejecución de código remoto.

Fallo en OpenJPEG podría permitir ejecución remota de código

Los fallos solucionados han sido:

  • CVE-2017-17480: Se descubrió que OpenJPEG manejaba incorrectamente ciertos archivos PGX. Un atacante podría usar este fallo para causar denegación de servicio o realizar ejecución de código remota.
  • CVE-2018-14423: Se descubrió que OpenJPEG manejaba incorrectamente ciertos archivos. Un atacante podría usar este fallo para causar denegación de servicio.
  • CVE-2018-18088: Se descubrió que OpenJPEG manejaba incorrectamente ciertos archivos PNM. Un atacante podría usar este fallo para causar denegación de servicio.
  • CVE-2018-5785 y CVE-2018-6616: OpenJPEG también manejaba incorrectamente algunos archivos BMP. Un atacante podría usar el fallo para causar denegación de servicio.

Los parches que solucionan estos 5 fallos ya están disponibles en los repositorios oficiales de Ubuntu 18.04 LTS. Los archivos que hay que instalar son libopenjp2-7 – 2.3.0-2build0.18.04.1, libopenjp3d7 – 2.3.0-2build0.18.04.1 y libopenjpip7 – 2.3.0-2build0.18.04.1. Para ello, basta con abrir la app Actualización de Software o los diferentes centros de software disponibles y actualizar los paquetes mencionados.

Artículo relacionado:
Fallo de seguridad en WPA permite a un atacante remoto conseguir nuestras contraseñas

Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.