PT-2024-3317 · Jasper+1 · Jasper+1

Arbuszo

·

Publicado

2024-04-19

·

Atualizado

2024-08-19

·

CVE-2024-31744

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Jasper versão 4.2.2
Descrição
O problema está relacionado a uma vulnerabilidade de falha de asserção na função jpc streamlist remove, que pode ser explorada por invasores para causar um ataque de negação de serviço por meio de um arquivo de imagem específico. Essa vulnerabilidade está associada à limpeza ou liberação incorreta de recursos.
Recomendações
Para a versão 4.2.2 do Jasper, considere desativar a função jpc streamlist remove como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao módulo jpc dec.c para minimizar o risco de exploração. Evite usar a função vulnerável com arquivos de imagem especialmente criados até que o problema seja resolvido.

Correção

DoS

Assertion Failure

Improper Resource Release

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-617CWE-404

Identificadores relacionados

AZL-40000
BDU:2024-03555
CVE-2024-31744
MGASA-2024-0144
OPENSUSE-SU-2024:13878-1
OPENSUSE-SU-2024_1464-1
SUSE-SU-2024:1396-1
SUSE-SU-2024:1464-1
SUSE-SU-2024_1396-1
SUSE-SU-2024_1464-1

Produtos afetados

Jasper
Suse