BLSA-2017:0034 – [中等] openjpeg 安全警告及修复方法



  • BLSA-2017:0034 – [中等] openjpeg 安全警告及修复方法

    问题描述

    openjpeg(C语言编写的开放源码的JPEG 2000编解码器)最近暴露出多个整数溢出漏洞,可能会导致使用OpenJPEG的应用程序崩溃,或潜在地执行任意代码等。建议所有受影响用户都安装BCLinux 提供的的升级包以修复这些漏洞,升级包包含了修复这些漏洞的补丁文件。

    影响版本

    • BigCloud Enterprise Linux 7
    • Red Hat Enterprise Linux 7
    • CentOS Linux 7

    详细介绍

    • CVE-2016-5139 [重要], CVE-2016-5158 [重要], CVE-2016-5159 [重要], CVE-2016-7163 [中等]
      OpenJPEG中暴露出整数溢出漏洞,导致基于堆的缓冲区溢出,可能会导致使用OpenJPEG的应用程序崩溃,或潜在地执行任意代码。

    • CVE-2016-9675 [中等]
      在CVE-2013-6045的补丁中被发现存在安全漏洞,当使用OpenJPEG的应用程序读取时某些JPEG2000图像时,可能导致基于堆的缓冲区溢出,使应用程序崩溃或潜在的任意代码执行。

    • CVE-2016-9573 [中等]
      OpenJPEG的 j2k_to_image工具中被暴露存在一个越界读漏洞,攻击者可以通过创建一个恶意的JPEG2000文件,当用OpenJPEG的应用程序将该JPEG2000文件转换为另一种格式时可能会导致应用进程的崩溃或者潜在地从堆栈中泄露某些数据。

    解决方案

    目前,BCLinux的官方源已经提供 openjpeg 的更新软件包,受影响的 BCLinux 7 客户端用户需要升级到 1.5.1-16.el7 版本。

    1.检查YUM源设置,确保使用的是BCLinux官方YUM源

    [root@BCLinux ~]# ll /etc/yum.repos.d/
    total 16
    -rw-r--r--. 1 root root 1127 Jan  7  2016 BCLinux-Base.repo
    -rw-r--r--. 1 root root  794 Jan  7  2016 BCLinux-Kernel.repo
    -rw-r--r--. 1 root root 1153 Jan  7  2016 BCLinux-Source.repo
    -rw-r--r--. 1 root root  801 Jan  7  2016 BigCloud.repo
    

    2.安装更新

    [root@BCLinux ~]# yum update openjpeg
    Loaded plugins: fastestmirror
    Loading mirror speeds from cached hostfile
    Resolving Dependencies
    --> Running transaction check
    ---> Package openjpeg.x86_64 0:1.5.1-10.el7 will be updated
    ---> Package openjpeg.x86_64 0:1.5.1-16.el7 will be an update
    --> Processing Dependency: openjpeg-libs(x86-64) = 1.5.1-16.el7 for package: openjpeg-1.5.1-16.el7.x86_64
    --> Running transaction check
    ---> Package openjpeg-libs.x86_64 0:1.5.1-10.el7 will be updated
    ---> Package openjpeg-libs.x86_64 0:1.5.1-16.el7 will be an update
    --> Finished Dependency Resolution
    
    Dependencies Resolved
    
    ================================================================================================================================================
     Package                                        Arch                                    Version                                         Reposito
    ================================================================================================================================================
    Updating:
     openjpeg                                       x86_64                                  1.5.1-16.el7                                    updates 
    Updating for dependencies:
     openjpeg-libs                                  x86_64                                  1.5.1-16.el7                                    updates 
    
    Transaction Summary
    ================================================================================================================================================
    Upgrade  1 Package (+1 Dependent package)
    
    Total download size: 275 k
    Is this ok [y/d/N]: y
    

    3.复查

    [root@BCLinux ~]# rpm -q openjpeg
    openjpeg-1.5.1-16.el7.x86_64
    

    4.重启应用

    安装升级包以后,重启应用,更新生效。

    外部链接

    1.BCLinux安全更新