Vulnérabilités dans OpenJPEG
Date de publication :
Deux vulnérabilités ont été corrigées dans l’outil OpenJPEG. Leur exploitation peut permettre un déni de service et une injection de code arbitraire.
CVE-2020-27814[Score CVSS v3 : 7.8] : Une vulnérabilité de type débordement de tas a été corrigée dans openJPEG. Un attaquant local et non-authentifié peut potentiellement exploiter cette faille, d’une manière non-spécifiée, afin de provoquer un déni de service et, dans certains cas, injecter du code arbitraire.
CVE-2020-27823[Score CVSS v3 : En cours de calcul] : Une vulnérabilité a été corrigée dans l’encodeur d’OpenJPEG. Un attaquant local et non-authentifié peut potentiellement manipuler un offset x,y afin d'impacter la confidentialité, l’intégrité et la disponibilité du système d’une manière non-spécifiée.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Injection de code arbitraire
- Impact sur la confidentialité non-spécifié
- Impact sur l’intégrité non-spécifié
- Impact sur la disponibilité non-spécifié
Criticité
- Score CVSS v3 : 7.8 ; En cours de calcul
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est proposée publiquement à l’heure actuelle.
Composants vulnérables
- Les versions d’openJPEG antérieures à la version 2.4.0 sont considérées comme impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour OpenJPEG vers la version 2.4.0 ou vers une version ultérieure.
Solution de contournement
Aucune solution de contournement n’est proposée à l’heure actuelle.