distroless/java25-debian13: libc6 + libpng16-16t64 (CVE-2026-22801, CVE-2026-22695, CVE-2026-0861, CVE-2026-24515)

Betroffene Produkte:

• jadice flow Bundles und Technologiepakete

Herkunft:

Die CVEs stammen aus dem Base Image unserer Worker: distroless/java25-debian13:nonroot. Betroffen sind die libraries libc6 (CVE-2026-0861), libpng16-16t64 (CVE-2026-22695, CVE-2026-22801) und libexpat1 (CVE-2026-24515).

Auswirkung & Informationen zur CVE:

CVE-2026-0861:

Es kann zu einem Integer Overflow und dadurch zu einer Heap Corruption kommen, wenn zu große alignment Werte an Funktionen zum Reservieren von Arbeitsspeicher (memalign, posix_memalign, orientiert_alloc) übergeben werden.

CVE-2026-22695:

In der betroffenen Version von libpng gibt es ein “heap buffer over-read”, wenn manipulierte PNGs (interlaced 16-bit PNGs with 8-bit output format and non-minimal row stride) verarbeitet werden. Dadurch kann es zu Denial-of-Service Angriffen kommen oder Speicherinformationen falsch gelesen werden.

CVE-2026-22801:

In der betroffenen Version von libpng ist ein Integer-Truncation Problem, was dazu führen kann, dass Speicher über den heap buffer hinaus gelesen werden kann. Die Schwachstelle kann ausgenutzt werden, wenn der betroffenen Methode ein entsprechend manipuliertes Bild übergeben wird (negativer Zeilenabstand oder ein zu großer Abstand (ab 65535 Bytes)).

CVE-2026-24515:

Die in der Bibliothek “libexpat1” enthaltene Funktion “XML_ExternalEntityParserCreate” kopiert bestimmte Daten („unknown encoding handler user data“) nicht.

Dadurch sind DoS Angriffe und Abstürze einer Anwendung (durch Null Pointer) möglich.

Weitere Informationen können Sie unter folgenden Links finden:

• https://nvd.nist.gov/vuln/detail/CVE-2026-0861

• https://avd.aquasec.com/nvd/2026/cve-2026-22695/

• https://avd.aquasec.com/nvd/2026/cve-2026-22801/

• https://nvd.nist.gov/vuln/detail/CVE-2026-24515

Bewertung & Abhilfe:

Die CVEs CVE-2026-22695 und CVE-2026-22801 lassen sich ausnutzen, wenn entsprechend manipulierte Bilder verarbeitet werden.

CVE-2026-0861 lässt sich über die jadice flow Bundles nicht ausnutzen.

CVE-2026-24515 lässt sich nur über lokalen Zugriff auf die Container ausnutzen.

Sobald ein neues Debian Release mit den Fixes für die libraries veröffentlicht wird, werden wir ein Release der jadice flow Bundles mit der neuen Version bauen und veröffentlichen.

Behobene jadice flow Versionen:

Bundles:

• document enhancer: 0.21.1

• document conversion: 1.15.1

• email conversion: 0.37.1

• image conversion: 1.14.1

• anno migrator: 1.12.1

• archive migrator: 0.13.1

• web toolkit addon: 1.16.1

Technologiepakete:

• tesseract (ocr): 1.30.3

• pdf persmissions: 1.15.4

• virus scan: 0.11.4

• html conversion: 1.16.3

• decompress: 1.16.4

• ms word: 0.19.4

• ms excel: 0.19.4

• ms powerpoint: 0.19.4