Ma délután megjelent a Canonical jelentés amelyben részletesek 5 biztonsági hiba az openjpeg2 - JPEG 2000 dekompressziós tömörítési könyvtárban, amely az Ubuntu összeomlását vagy még rosszabb állapotát okozhatja. Kezdetben a OpenJPEG csak az Ubuntu 18.04 LTS-t érinti, így a másik két hivatalos verzió, amely még mindig rendelkezik hivatalos támogatással, kiadásra kerülne, ezek az Ubuntu 16.04 Xenial Xerus (ezeket korábban javították) és az Ubuntu 19.04, a Canonical operációs rendszerének legújabb verziója, amelyet kiadtak tavaly áprilisban.
Ellentétben néhány olyan biztonsági kutatóval, akik a sebezhetőség kijavítását megelőzően adják ki a biztonsági réseket, a Canonical csak a javítások kiadása után tárja fel a biztonsági hibákat. Összesen 5 hibát javítottak ki, és mindegyiket fel lehet használni a szolgáltatás megtagadásának (DoS) okozására. Az egyik ítéletben ezt is megemlítik lehetővé teheti a távoli kódfuttatást.
Az OpenJPEG hiba távoli kódfuttatást tehet lehetővé
A javított hibák:
- CVE-2017 17480-: Megállapították, hogy az OpenJPEG nem megfelelően kezeli bizonyos PGX fájlokat. A támadó felhasználhatja ezt a hibát a szolgáltatás megtagadásához vagy távoli kódfuttatáshoz.
- CVE-2018 14423-: Megállapították, hogy az OpenJPEG helytelenül kezelt bizonyos fájlokat. A támadó felhasználhatja ezt a hibát a szolgáltatás megtagadásához.
- CVE-2018 18088-: Megállapították, hogy az OpenJPEG helytelenül kezelt bizonyos PNM fájlokat. A támadó felhasználhatja ezt a hibát a szolgáltatás megtagadásához.
- CVE-2018 5785- y CVE-2018 6616-: Az OpenJPEG egyes BMP fájlokat is helytelenül kezelt. A támadó felhasználhatja a hibát a szolgáltatás megtagadásához.
Az öt hibát kijavító javítások már rendelkezésre állnak a hivatalos adattárakban az Ubuntu 18.04 LTS. A telepítendő fájlok libopenjp2-7 – 2.3.0-2build0.18.04.1, libopenjp3d7 – 2.3.0-2build0.18.04.1 ylibopenjpip7 - 2.3.0-2build0.18.04.1. Ehhez csak nyissa meg a Szoftverfrissítés alkalmazást vagy a rendelkezésre álló különböző szoftverközpontokat, és frissítse az említett csomagokat.