📚 jasper bis 1.900.1 JPEG 2000 Image Handler jas_iccprof_createfrombuf Denial of Service
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 82338
Betroffen: jasper bis 1.900.1
Veröffentlicht: 13.04.2016
Risiko: problematisch
Erstellt: 14.04.2016
Eintrag: 66.8% komplett
Beschreibung
Es wurde eine problematische Schwachstelle in jasper bis 1.900.1 ausgemacht. Dabei betrifft es die Funktion jas_iccprof_createfrombuf
der Komponente JPEG 2000 Image Handler. Durch die Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (Memory Leak) ausgenutzt werden. Dies wirkt sich aus auf die Verfügbarkeit. CVE fasst zusammen:
Memory leak in the jas_iccprof_createfrombuf function in JasPer 1.900.1 and earlier allows remote attackers to cause a denial of service (memory consumption) via a crafted ICC color profile in a JPEG 2000 image file.
Die Schwachstelle wurde am 13.04.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2016-2116 geführt. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 89698 (Debian DSA-3508-1 : jasper – security update) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Debian Local Security Checks zugeordnet.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an. Die Einträge 82331 sind sehr ähnlich.
CVSS
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:N/A:P) [?]
Temp Score: 3.5 (CVSS2#E:ND/RL:ND/RC:ND) [?]
CPE
Exploiting
Klasse: Denial of Service
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $1k-$2k (0-day) / $1k-$2k (Heute)
Nessus ID: 89698
Nessus Name: Debian DSA-3508-1 : jasper – security update
Nessus File: debian_DSA-3508.nasl
Nessus Family: Debian Local Security Checks
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden
Timeline
13.04.2016 | Advisory veröffentlicht
14.04.2016 | VulDB Eintrag erstellt
14.04.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-2116 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 82331
...