Jasper JPEG-2000 तक 1.900.1 libjasper/mif/mif_cod.c mif_process_cmpt JPEG 2000 Image बफ़र ओवरफ़्लो
| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
सारांश
एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Jasper JPEG-2000 तक 1.900.1 में खोजी गई है। प्रभावित है फ़ंक्शन mif_process_cmpt libjasper/mif/mif_cod.c फ़ाइल में। यह परिवर्तन JPEG 2000 Image के अंतर्गत बफ़र ओवरफ़्लो का कारण बनता है।
इस संवेदनशीलता को CVE-2015-5221 के रूप में जाना जाता है। यह हमला दूर से किया जा सकता है। कोई एक्सप्लॉइट उपलब्ध नहीं है।
यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।
विवरण
एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Jasper JPEG-2000 तक 1.900.1 में खोजी गई है। प्रभावित है फ़ंक्शन mif_process_cmpt libjasper/mif/mif_cod.c फ़ाइल में। यह परिवर्तन JPEG 2000 Image के अंतर्गत बफ़र ओवरफ़्लो का कारण बनता है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-416 की ओर ले जाता है। 20/08/2015 को इस बग की पहचान की गई थी। यह कमजोरी प्रकाशित हुई थी 25/07/2017 द्वारा Agostino Sarubbo के साथ Gentoo (oss-sec). openwall.com पर यह परामर्श डाउनलोड हेतु उपलब्ध कराया गया है।
इस संवेदनशीलता को CVE-2015-5221 के रूप में जाना जाता है। CVE असाइनमेंट 01/07/2015 को हुआ। यह हमला दूर से किया जा सकता है। तकनीकी विवरण उपलब्ध हैं. यह भेद्यता सामान्य से कम लोकप्रिय है। कोई एक्सप्लॉइट उपलब्ध नहीं है। वर्तमान में एक एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है।
इसे परिभाषित नहीं घोषित किया गया है। इस भेद्यता को कम से कम 657 दिनों के लिए गैर-प्रकाशित ज़ीरो-डे एक्सप्लॉइट के रूप में माना गया था। 0-डे के तौर पर इसकी अनुमानित अवैध बाजार कीमत करीब $0-$5k थी. Nessus द्वारा 100637 आईडी वाला एक प्लगइन दिया गया है। इसे Amazon Linux Local Security Checks फैमिली के अंतर्गत रखा गया है। प्लगइन l प्रकार के संदर्भ में चल रहा है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 176838 प्लगइन से कर सकता है (Debian Security Update for jasper (DLA 1583-1)).
1.900.2 संस्करण में अपग्रेड करना इस समस्या को दूर कर सकता है। यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।
कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 93590) , Tenable (100637).
उत्पाद
प्रकार
विक्रेता
नाम
संस्करण
लाइसेंस
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 4.9VulDB मेटा अस्थायी स्कोर: 4.8
VulDB मूल स्कोर: 4.3
VulDB अस्थायी स्कोर: 4.1
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 5.5
NVD वेक्टर: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: बफ़र ओवरफ़्लोCWE: CWE-416 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: आंशिक रूप से
स्थानीय: हाँ
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: परिभाषित नहीं
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 100637
Nessus नाम: Amazon Linux AMI : jasper (ALAS-2017-836)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍
OpenVAS ID: 881932
OpenVAS नाम: CentOS Update for jasper CESA-2017:1208 centos7
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: अपग्रेडस्थिति: 🔍
प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍
अपग्रेड: JPEG-2000 1.900.2
पैच: github.com
समयरेखा
01/07/2015 🔍20/08/2015 🔍
17/10/2016 🔍
07/06/2017 🔍
25/07/2017 🔍
25/07/2017 🔍
25/07/2017 🔍
26/07/2017 🔍
14/12/2022 🔍
स्रोत
सलाह: RHSA-2017:1208शोधकर्ता: Agostino Sarubbo
संगठन: Gentoo
स्थिति: पुष्टि की गई
पुष्टि: 🔍
CVE: CVE-2015-5221 (🔍)
GCVE (CVE): GCVE-0-2015-5221
GCVE (VulDB): GCVE-100-104484
SecurityFocus: 93590 - JasPer CVE-2016-8690 Null Pointer Dereference Denial of Service Vulnerability
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 26/07/2017 10:12 AMअद्यतनित: 14/12/2022 07:24 AM
परिवर्तन: 26/07/2017 10:12 AM (78), 01/11/2019 09:05 AM (6), 14/12/2022 07:24 AM (5)
पूर्ण: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें