安全漏洞

安全漏洞补丁公告

当前位置  >  首页  >  服务支持  >  安全漏洞  >  安全漏洞补丁公告

公告ID(KYSA-202208-0008

公告ID:KYSA-202208-0008 公告摘要:libjpeg-turbo安全漏洞 等级:低等 发布日期:2022-11-10

详细介绍

1. 修复的CVE CVE-2020-17541 DRC libjpeg-turbo是 DRC开源的一个应用软件。提供一个JPEG图像编解码器,它使用SIMD指令来加速x86,x86-64,Arm,PowerPC和MIPS系统上的基线JPEG压缩和解压缩,以及x86,x86-64和Arm系统上的渐进JPEG压缩。Libjpeg-turbo存在安全漏洞,该漏洞源于在“transform”组件中都有一个基于堆栈的缓冲区溢出。 CVE-2020-14152 libjpeg是一款用于处理JPEG格式图像数据的C语言库。该产品包括JPEG解码、JPEG编码和其他JPEG功能。 IJG JPEG(又名libjpeg)9d之前版本中存在安全漏洞,该漏洞源于jmemnobs.c文件的jpeg_mem_available()没有遵守max_memory_to_use的设置。攻击者可利用该漏洞耗尽内存。 CVE-2018-14498 libjpeg-turbo 1.5.90之前版本和MozJPEG 3.3.1之前版本中的rdbmp.c文件的‘get_8bit_row’函数存在缓冲区越界读取漏洞。攻击者可通借助8位的特制BMP图像利用该漏洞造成拒绝服务(程序崩溃)。 CVE-2018-11813 libjpeg是独立JPEG工作组(Independent JPEG Group,IJG)所维护的一个包含JPEG解码、JPEG编码和其他JPEG功能的C语言库。libjpeg 9c版本中存在安全漏洞,该漏洞源于rdtarga.c文件没有正确处理文件结束符。远程攻击者可借助特制文件利用该漏洞导致拒绝服务。 2. 受影响的操作系统及软件包 ·银河麒麟桌面操作系统V10 x86_64 架构: libjpeg-turbo-progs、libjpeg-turbo-test、libjpeg-turbo8、libturbojpeg arm64 架构: libjpeg-turbo-progs、libjpeg-turbo-test、libjpeg-turbo8、libturbojpeg 3. 软件包修复版本 ·银河麒麟桌面操作系统V10 1.4.2-0kord3.4+esm1 4. 修复方法 方法一:升级安装 执行更新命令进行升级 $sudo apt update $sudo apt install libjpeg-turbo8 $sudo apt install libjpeg-turbo-progs $sudo apt install libturbojpeg 方法二:下载软件包进行升级安装 通过软件包地址下载软件包,使用软件包升级命令根据受影响的软件包列表升级相关的组件包。 $sudo dpkg -i /Path1/Package1 /Path2/Package2 /Path3/Package3…… 注:Path 指软件包下载到本地的路径,Package指下载的软件包名称,多个软件包则以空格分开。 5.5. 软件包下载地址 银河麒麟桌面操作系统V10 x86_64软件包下载地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libj/libjpeg-turbo/libjpeg-turbo-progs_1.4.2-0kord3.4%2Besm1_amd64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libj/libjpeg-turbo/libjpeg-turbo-test_1.4.2-0kord3.4%2Besm1_amd64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libj/libjpeg-turbo/libjpeg-turbo8_1.4.2-0kord3.4%2Besm1_amd64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libj/libjpeg-turbo/libturbojpeg_1.4.2-0kord3.4%2Besm1_amd64.deb arm64软件包下载地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libj/libjpeg-turbo/libjpeg-turbo-progs_1.4.2-0kord3.4%2Besm1_arm64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libj/libjpeg-turbo/libjpeg-turbo-test_1.4.2-0kord3.4%2Besm1_arm64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libj/libjpeg-turbo/libjpeg-turbo8_1.4.2-0kord3.4%2Besm1_arm64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libj/libjpeg-turbo/libturbojpeg_1.4.2-0kord3.4%2Besm1_arm64.deb 6. 修复验证 使用软件包查询命令,查看相关的软件包版本大于或等于修复版本则成功修复。 $sudo dpkg -l |grep Package 注:Package为软件包包名。
上一篇: KYSA-202208-0007 下一篇: KYSA-202208-0009

试用

服务

动态

联系