Сегодня днем Canonical опубликовала отчет в котором они подробно описаны 5 недостатков безопасности в библиотеке декомпрессии openjpeg2 - JPEG 2000, которая может привести к сбою Ubuntu или даже хуже. Изначально недостатки обнаружены в OpenJPEG влияют только на Ubuntu 18.04 LTS, поэтому будут выпущены две другие официальные версии, которые все еще имеют официальную поддержку, а именно Ubuntu 16.04 Xenial Xerus (они были исправлены в прошлом) и Ubuntu 19.04, последняя версия операционной системы Canonical, которая была выпущена. в прошлом апреле.
В отличие от некоторых исследователей безопасности, которые выпускают уязвимости до того, как они будут исправлены, Canonical устраняет недостатки безопасности только после выпуска исправлений. Всего было исправлено 5 ошибок, и все они могли быть использованы для отказа в обслуживании (DoS). В одном из постановлений также упоминается, что может разрешить удаленное выполнение кода.
Ошибка OpenJPEG могла позволить удаленное выполнение кода
Исправлены ошибки:
- CVE-2017-17480: OpenJPEG неправильно обрабатывает определенные файлы PGX. Злоумышленник может использовать эту уязвимость, чтобы вызвать отказ в обслуживании или выполнить удаленное выполнение кода.
- CVE-2018-14423: OpenJPEG неправильно обрабатывает определенные файлы. Злоумышленник может использовать эту уязвимость, чтобы вызвать отказ в обслуживании.
- CVE-2018-18088: OpenJPEG неправильно обрабатывает определенные файлы PNM. Злоумышленник может использовать эту уязвимость, чтобы вызвать отказ в обслуживании.
- CVE-2018-5785 y CVE-2018-6616: OpenJPEG также неправильно обрабатывал некоторые файлы BMP. Злоумышленник может использовать уязвимость, чтобы вызвать отказ в обслуживании.
Патчи, исправляющие эти 5 ошибок уже доступны в официальных репозиториях из Ubuntu 18.04 LTS. Файлы для установки: libopenjp2-7 – 2.3.0-2build0.18.04.1, libopenjp3d7 – 2.3.0-2build0.18.04.1 и яibopenjpip7 - 2.3.0-2build0.18.04.1. Для этого просто откройте приложение «Обновление программного обеспечения» или различные доступные центры программного обеспечения и обновите упомянутые пакеты.