WebP Sicherheitslücke (CVE-2023-4863)

Owned by David Werth
Last updated: Okt. 11, 2023 by Simon Welsch

Die Sicherheitslücke CVE-2023-4863 wird als high eingestuft. 

Herkunft

Die Sicherheitslücke kommt aus der WebP-Library von Chromium, die in einigen anderen Anwendung zur Anzeige von WebP-Bildern verwendet wird

Bewertung

positive

Was bedeutet das für die einzelnen jadice- und neverpile-Produkte?

jadice web toolkit

Im jadice web toolkit wird WebP verwendet, allerdings zum Rendern von Bildern und nicht zur Anzeige. Das jadice web toolkit ist daher nicht betroffen.

jadice document platform und jadice Swing-viewer

WebP wird nicht unterstützt, die Produkte sind nicht betroffen

jadice server

Sofern LibreOffice oder ImageMagick eingesetzt werden sollten diese auf die neueste Version aktualisiert werden.

  • Image Magick ab Version 7.1.1-17
  • LibreOffice ab Version 7.6.2 bzw. 7.5.7

jadice flow

Sofern einer der folgenden Worker verwendet wird, sind diese von der Sicherheitslücke betroffen:

  • LibreOffice: ein Image mit der nicht mehr betroffenen LibreOffice Version 7.6.2 steht nun als "jf-worker-libreoffice:1.4.2-de" zur Verfügung
  • ImageMagick: Im von levigo bereit gestellten Container Image "jf-worker-imagemagick" ist keine Installation von ImageMagick enthalten. D.h. Sie müssen ihren Installationsvorgang anpassen und eine Version ab 7.1.1-17 verwenden.