Bug 7405 - [UPDATE REQUEST] openjpeg2 2.1.0 → 2.1.2
: [UPDATE REQUEST] openjpeg2 2.1.0 → 2.1.2
Status: VERIFIED FIXED
Product: Desktop Bugs
Classification: ROSA Desktop
Component: Main Packages
: Fresh
: All Linux
: Normal normal
: ---
Assigned To: ROSA Linux Bugs
: ROSA Linux Bugs
:
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2016-10-01 14:11 MSD by Алзим
Modified: 2016-10-25 14:27 MSD (History)
4 users (show)

See Also:
RPM Package:
ISO-related:
Bad POT generating:
Upstream:
vladimir.potapov: qa_verified+
denis.silakov: published+


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Алзим 2016-10-01 14:11:02 MSD
В библиотеке OpenJPEG выявлена опасная уязвимость (CVE-2016-8332), которая может привести к выполнению кода злоумышленника при обработке специально оформленных изображений в формате JPEG 2000 в приложениях, использующих функции OpenJPEG для их обработки. Уязвимость вызвана выходом за границы буфера при разборке записей mcc.

В том числе, уязвимости подвержены просмотрщики PDF Poppler, MuPDF и Pdfium, использующие OpenJPEG для декодирования встроенных в PDF-файлы изображений, а также некоторые почтовые клиенты, автоматически показывающие прикреплённые к письмам изображения. Проблема устранена в выпуске OpenJPEG 2.1.2. 

http://www.opennet.ru/opennews/art.shtml?num=45259
Comment 1 Алзим 2016-10-01 14:12:29 MSD
Updated to 2.1.2

https://abf.io/build_lists/2723201
https://abf.io/build_lists/2723202
Comment 2 Denis Silakov 2016-10-10 14:01:06 MSD
*** Bug 7346 has been marked as a duplicate of this bug. ***
Comment 3 Vladimir Potapov 2016-10-19 10:27:13 MSD
Интересно, что у нас poppler собран без поддержки OpenJpeg (и к текущей версии нельзя подцепить из-за ошибки сборки). Так что CVE почти ни на что не влияет.
Но пусть будет.
Comment 4 Vladimir Potapov 2016-10-19 17:33:49 MSD
The update is sent to expanded testing
****************************************
Comment 5 Vladimir Potapov 2016-10-25 11:41:13 MSD
openjpeg2-2.1.2-1
https://abf.io/build_lists/2723201
https://abf.io/build_lists/2723202
******************************** Advisory *******************************
Updated to 2.1.2 with fix CVE-2016-8332
*************************************************************************
QA Verified