Esta tarde, Canonical ha publicado un informe en el que se detallan 5 fallos de seguridad en la librería de compresión descompresión openjpeg2 – JPEG 2000 que podían provocar que Ubuntu se bloqueara o algo peor. En un principio, los fallos encontrados en OpenJPEG afectan solo a Ubuntu 18.04 LTS, por lo que se librarían las otras dos versiones oficiales que aún cuentan con soporte oficial, que son Ubuntu 16.04 Xenial Xerus (se corrigieron en el pasado) y Ubuntu 19.04, la última versión del sistema operativo de Canonical que fue lanzada el pasado abril.
A diferencia de lo que hacen algunos investigadores de seguridad que publican las vulnerabilidades antes de que sean corregidas, Canonical solo publica los fallos de seguridad cuando ya han lanzado los parches. En total se han corregido 5 fallos y todos ellos podrían usarse para causar denegación del servicio (DoS). En uno de los fallos, también mencionan que podría permitir ejecución de código remoto.
Fallo en OpenJPEG podría permitir ejecución remota de código
Los fallos solucionados han sido:
- CVE-2017-17480: Se descubrió que OpenJPEG manejaba incorrectamente ciertos archivos PGX. Un atacante podría usar este fallo para causar denegación de servicio o realizar ejecución de código remota.
- CVE-2018-14423: Se descubrió que OpenJPEG manejaba incorrectamente ciertos archivos. Un atacante podría usar este fallo para causar denegación de servicio.
- CVE-2018-18088: Se descubrió que OpenJPEG manejaba incorrectamente ciertos archivos PNM. Un atacante podría usar este fallo para causar denegación de servicio.
- CVE-2018-5785 y CVE-2018-6616: OpenJPEG también manejaba incorrectamente algunos archivos BMP. Un atacante podría usar el fallo para causar denegación de servicio.
Los parches que solucionan estos 5 fallos ya están disponibles en los repositorios oficiales de Ubuntu 18.04 LTS. Los archivos que hay que instalar son libopenjp2-7 – 2.3.0-2build0.18.04.1, libopenjp3d7 – 2.3.0-2build0.18.04.1 y libopenjpip7 – 2.3.0-2build0.18.04.1. Para ello, basta con abrir la app Actualización de Software o los diferentes centros de software disponibles y actualizar los paquetes mencionados.
Fuente: ubunlog
