🏠 Team IT Security News

TSecurity.de ist eine Online-Plattform, die sich auf die Bereitstellung von Informationen,alle 15 Minuten neuste Nachrichten, Bildungsressourcen und Dienstleistungen rund um das Thema IT-Sicherheit spezialisiert hat.
Ob es sich um aktuelle Nachrichten, Fachartikel, Blogbeiträge, Webinare, Tutorials, oder Tipps & Tricks handelt, TSecurity.de bietet seinen Nutzern einen umfassenden Überblick über die wichtigsten Aspekte der IT-Sicherheit in einer sich ständig verändernden digitalen Welt.

16.12.2023 - TIP: Wer den Cookie Consent Banner akzeptiert, kann z.B. von Englisch nach Deutsch übersetzen, erst Englisch auswählen dann wieder Deutsch!

Google Android Playstore Download Button für Team IT Security

800+ IT News als RSS Feed abonnieren

Thema auswählen:

📚 jasper bis 1.900.1 JPEG 2000 Image Handler jas_iccprof_createfrombuf Denial of Service

🕛 Zeit seit Veröffentlichung: 2924 Tage, 18 Stunden 32 Minuten
📆 Veröffentlicht am: 13.04.2016 um 02:00 Uhr
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch

Allgemein

scipID: 82338
Betroffen: jasper bis 1.900.1
Veröffentlicht: 13.04.2016
Risiko: problematisch

Erstellt: 14.04.2016
Eintrag: 66.8% komplett

Beschreibung

Es wurde eine problematische Schwachstelle in jasper bis 1.900.1 ausgemacht. Dabei betrifft es die Funktion jas_iccprof_createfrombuf der Komponente JPEG 2000 Image Handler. Durch die Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (Memory Leak) ausgenutzt werden. Dies wirkt sich aus auf die Verfügbarkeit. CVE fasst zusammen:

Memory leak in the jas_iccprof_createfrombuf function in JasPer 1.900.1 and earlier allows remote attackers to cause a denial of service (memory consumption) via a crafted ICC color profile in a JPEG 2000 image file.

Die Schwachstelle wurde am 13.04.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2016-2116 geführt. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 89698 (Debian DSA-3508-1 : jasper – security update) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Debian Local Security Checks zugeordnet.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an. Die Einträge 82331 sind sehr ähnlich.

CVSS

Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:N/A:P) [?]
Temp Score: 3.5 (CVSS2#E:ND/RL:ND/RC:ND) [?]

CPE

Exploiting

Klasse: Denial of Service
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $1k-$2k (0-day) / $1k-$2k (Heute)

Nessus ID: 89698
Nessus Name: Debian DSA-3508-1 : jasper – security update
Nessus File: debian_DSA-3508.nasl
Nessus Family: Debian Local Security Checks

Gegenmassnahmen

Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden

Timeline

13.04.2016 | Advisory veröffentlicht
14.04.2016 | VulDB Eintrag erstellt
14.04.2016 | VulDB Eintrag aktualisiert

Quellen

CVE: CVE-2016-2116 (mitre.org) (nvd.nist.org) (cvedetails.com)

Siehe auch: 82331

...

Sharing is caring on Social Media

📌 CVE-2016-2116 | Jasper up to 1.900.1 JPEG 2000 Image jas_iccprof_createfrombuf resource management (RHSA-2017:1208 / Nessus ID 89698)

🕛 631 Tage, 6 Stunden 46 Minuten
📆 24.07.2022 um 13:14 Uhr
📈 90.66 Punkte

📌 CVE-2016-1577 | Jasper up to 1.900.1 JPEG 2000 Image jas_iccattrval_destroy double free (RHSA-2017:1208 / Nessus ID 89698)

🕛 631 Tage, 6 Stunden 46 Minuten
📆 24.07.2022 um 12:15 Uhr
📈 57.4 Punkte