JVNDB-2011-003470

JasPer の jpc_crg_getparms 関数におけるヒープベースのバッファオーバーフローの脆弱性

JasPer の libjasper/jpc/jpc_cs.c 内の jpc_crg_getparms 関数には、特定のサイズ計算時に不適切なデータ型を使用するため、ヒープベースのバッファオーバーフローの誘発、および任意のコードを実行される、またはサービス運用妨害 (ヒープメモリ破損) 状態となる脆弱性が存在します。

IBM

• IBM WebSphere Portal 6.0.0.1 未満の 6.0.0
• IBM WebSphere Portal 6.0.1
• IBM WebSphere Portal 6.1.0.6 CF27 未満の 6.1.0
• IBM WebSphere Portal 6.1.5.3 CF27 未満の 6.1.5
• IBM WebSphere Portal 7.0.0.2 CF25 未満の 7
• IBM WebSphere Portal 8.0.0.1 CF08 未満の 8

JasPer Project

• JasPer 1.900.1

オラクル

• Oracle Fusion Middleware 8.3.5
• Oracle Fusion Middleware 8.3.7

IBM WebSphere Portal をアップグレード後に Interim Fix PI07290 を適用する必要があります。
本脆弱性の影響を受ける IBM 製品の詳細については、ベンダ情報 1660640 をご確認ください。

第三者により、不正な形式の JPEG2000 ファイルを介して、ヒープベースのバッファオーバーフローを誘発される、および任意のコードを実行される、またはサービス運用妨害 (ヒープメモリ破損) 状態にされる可能性があります。

ベンダ情報および参考情報を参照して適切な対策を実施してください。

Debian

• Debian セキュリティ勧告 : DSA-2371

IBM

• IBM Support Document : 1660640
• IBM セキュリティー情報 : 1660774

JasPer Project

• JasPer Project : The JasPer Project Home Page

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - January 2012
• SECURITY BLOG : January 2012 Critical Patch Update Released
• SECURITY BLOG : Multiple Denial of Service vulnerabilities in Ghostscript 

レッドハット

• Red Hat Security Advisory : RHSA-2015:0698

1. 境界外書き込み(CWE-787) [NVD評価]

1. CVE-2011-4517

1. JVN : JVNVU#887409
2. National Vulnerability Database (NVD) : CVE-2011-4517
3. US-CERT Vulnerability Note : VU#887409

• [2011年12月21日]
    掲載
  [2012年01月18日]
    影響を受けるシステム：オラクル (Oracle Critical Patch Update Advisory - January 2012) の情報を追加
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - January 2012) を追加
    ベンダ情報：オラクル (January 2012 Critical Patch Update Released) を追加
    ベンダ情報：Debian (DSA-2371) を追加
  [2012年04月20日]
    ベンダ情報：オラクル (Multiple Denial of Service vulnerabilities in Ghostscript) を追加
  [2014年02月21日]
    影響を受けるシステム：IBM (1660640) の情報を追加
    ベンダ情報：IBM (1660640) を追加
    ベンダ情報：IBM (1660774) を追加
  [2015年05月25日]
    ベンダ情報：レッドハット (RHSA-2015:0698) を追加