Dnes popoludní bola publikovaná kniha Canonical správa v ktorých sú podrobne rozpísané 5 bezpečnostné chyby v knižnici dekompresnej kompresie openjpeg2 - JPEG 2000, ktorá by mohla spôsobiť zlyhanie Ubuntu alebo ešte horšie. Spočiatku boli chyby zistené v OpenJPEG ovplyvňujú iba Ubuntu 18.04 LTS, takže budú vydané ďalšie dve oficiálne verzie, ktoré majú stále oficiálnu podporu, a to Ubuntu 16.04 Xenial Xerus (boli opravené v minulosti) a Ubuntu 19.04, najnovšia verzia operačného systému Canonical, ktorá bola vydaná vlani v apríli.
Na rozdiel od niektorých výskumníkov v oblasti bezpečnosti, ktorí uvoľňujú chyby zabezpečenia skôr, ako budú opravené, Canonical uvoľní chyby zabezpečenia až po vydaní opráv. Celkovo bolo opravených 5 chýb a všetky z nich mohli byť použité na vyvolanie odmietnutia služby (DoS). V jednom z rozsudkov to tiež spomínajú môže umožňovať vzdialené vykonávanie kódu.
Chyba OpenJPEG mohla umožniť vzdialené spustenie kódu
Opravy chýb boli:
- CVE-2017 17480,: Zistilo sa, že program OpenJPEG nesprávne spracováva určité súbory PGX. Útočník by mohol pomocou tejto chyby spôsobiť odmietnutie služby alebo vykonať vzdialené spustenie kódu.
- CVE-2018 14423,: Zistilo sa, že program OpenJPEG nesprávne spracováva určité súbory. Útočník by mohol pomocou tejto chyby spôsobiť odmietnutie služby.
- CVE-2018 18088,: Zistilo sa, že program OpenJPEG nesprávne spracováva určité súbory PNM. Útočník by mohol pomocou tejto chyby spôsobiť odmietnutie služby.
- CVE-2018 5785, y CVE-2018 6616,: OpenJPEG tiež nesprávne spracovával niektoré súbory BMP. Útočník by mohol pomocou chyby spôsobiť odmietnutie služby.
Opravy, ktoré opravujú týchto 5 chýb sú už k dispozícii v oficiálnych úložiskách systému Ubuntu 18.04 LTS. Súbory na inštaláciu sú libopenjp2-7 – 2.3.0-2build0.18.04.1, libopenjp3d7 – 2.3.0-2build0.18.04.1 a libopenjpip7 - 2.3.0-2build0.18.04.1. Stačí otvoriť aplikáciu Aktualizácia softvéru alebo rôzne dostupné softvérové centrá a aktualizovať uvedené balíčky.