UPDATE: DFN-CERT-2016-1090 ImageMagick, GraphicsMagick: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE]

UPDATE: DFN-CERT-2016-1090 ImageMagick, GraphicsMagick: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (11.07.2016):
Für SUSE Studio Onsite 1.3, SUSE Linux Enterprise Software Development Kit
11 SP4 sowie Debuginfo 11 SP4 stehen Sicherheitsupdates für GraphicsMagick
bereit.
Version 1 (07.07.2016):
Neues Advisory

Betroffene Software:

GraphicsMagick
ImageMagick

Betroffene Plattformen:

SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Studio Onsite 1.3
openSUSE 13.2

Mehrere Schwachstellen in ImageMagick ermöglichen einem zumeist entfernten,
nicht authentifizierten Angreifer mithilfe speziell präparierter Bilddateien
die Ausführung beliebigen Programmcodes, verschiedene
Denial-of-Service-Angriffe (DoS), das Ausspähen von Informationen und
eventuell weitere, nicht näher beschriebene Angriffe.

Für openSUSE 13.2 steht ein Sicherheitsupdate für ImageMagick bereit.

Patch:

openSUSE Security Update openSUSE-SU-2016:1748-1

http://lists.opensuse.org/opensuse-updates/2016-07/msg00018.html

Patch:

SUSE Security Update SUSE-SU-2016:1783-1

https://lists.opensuse.org/opensuse-security-announce/2016-07/msg00010.html

CVE-2016-5842: Schwachstelle in ImageMagick ermöglicht Ausspähen von
Informationen

Durch eine Schwachstelle in ‘MagickCore/property.c’ in ImageMagick kann ein
bestimmter Parameter (‘q’) kontrolliert werden. Ein entfernter, nicht
authentifizierter Angreifer kann dies in der Folge verwenden, um
Informationen auszuspähen.

CVE-2016-5841: Schwachstelle in ImageMagick ermöglicht Ausführen beliebigen
Programmcodes

Durch eine Schwachstelle in ‘MagickCore/profile.c’ in ImageMagick kann es zu
einem Ganzzahl-Überlauf (Integer Overflow) kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff durchführen oder möglicherweise
beliebigen Programmcode zur Ausführung bringen.

CVE-2016-5691: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ‘ReadDCMImage()’, dem DCM-Parser in ImageMagick,
kann es zum Zugriff auf Null-Zeiger und Speicherschutzverletzungen kommen.
Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
speziell präparierten Bilddatei einen Denial-of-Service-Angriff ausführen
oder die Integrität des Systems beeinträchtigen.

CVE-2016-5690: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ‘ReadDCMImage’ in ImageMagick kann es bei der
Verarbeitung von ‘Pixel Scaling’-Tabellen zu einem Ganzzahl-Überlauf
(Integer Overflow) kommen. Ein entfernter, nicht authentifizierter Angreifer
kann mit Hilfe einer speziell präparierten Bilddatei einen
Denial-of-Service-Angriff ausführen.

CVE-2016-5689: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

In der Funktion ‘ReadDCMImage()’ in ImageMagick wird nicht auf NULL-Zeiger
geprüft. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
ausführen.

CVE-2016-5687: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in der Funktion ‘VerticalFilter()’ in ImageMagick
kann es zum Lesen über Speichergrenzen hinaus kommen (Out-of-bounds Memory
Read). Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
ausführen.

CVE-2016-4564: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘DrawImage’ in ‘MagickCore/draw.c’ in ImageMagick bevor 6.9.4-0
und 7.x bevor 7.0.1-2 macht einen fehlerhaften Funktionsaufruf bei dem
Versuch, dass nächste Token zu lokalisieren, wodurch es zu einem
Pufferspeicherüberlauf (Buffer Overflow) und Absturz der Anwendung oder
weiteren nicht näher spezifizierten Auswirkungen kommen kann. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Bilddatei einen Denial-of-Service-Angriff oder möglicherweise
weitere Angriffe durchführen.

CVE-2016-4563: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘TraceStrokePolygon’ in ‘MagickCore/draw.c’ in ImageMagick
bevor 6.9.4-0 und 7.x bevor 7.0.1-2 behandelt die Beziehung zwischen dem
‘BezierQuantum’-Wert und bestimmten ‘Strokes’-Daten fehlerhaft, wodurch es
zu einem Pufferspeicherüberlauf (Buffer Overflow) und Absturz der Anwendung
oder weiteren nicht näher spezifizierten Auswirkungen kommen kann. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Bilddatei einen Denial-of-Service-Angriff oder möglicherweise
weitere Angriffe durchführen.

CVE-2016-4562: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘DrawDashPolygon’ in ‘MagickCore/draw.c’ in ImageMagick bevor
6.9.4-0 und 7.x bevor 7.0.1-2 behandelt die Berechnung bestimmter
Ganzzahlendaten von Vertices fehlerhaft, wodurch es zu einem
Pufferspeicherüberlauf (Buffer Overflow) und Absturz der Anwendung kommt.
Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
speziell präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2015-8902: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
PDB-Dateien zu einem Denial-of-Service-Zustand kommen. Ein lokaler, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff ausführen.

CVE-2015-8900: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
HDR-Dateien zu einem Denial-of-Service-Zustand kommen. Ein lokaler, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff ausführen.

CVE-2014-9854: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es zum Auffüllen von Speicher
während der Identifizierung von Bildern kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9852: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es zu einer fehlerhaften
Verwendung eines Objektes nach dessen Zerstörung kommen. Ein entfernter,
nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9851: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es beim Parsen eines
Ressourcen-Blocks zu einem Absturz der Anwendung kommen. Ein entfernter,
nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9850: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Aufgrund einer fehlerhaften Thread-Begrenzungslogik in ImageMagick kann es
zu einem Absturz der Anwendung kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9849: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ‘PNG Coder’ in ImageMagick kann es bei der
Verarbeitung von PNG-Dateien zu einem Absturz der Anwendung kommen. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9848: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ‘Quantum Management’ in ImageMagick kann es zu
einem Speicherleck (Memory Leak) kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9843: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Aufgrund fehlerhafter Begrenzungsüberprüfungen (Boundary Checks) kann es in
der Funktion ‘DecodePSDPixels’ in ImageMagick bei der Verarbeitung von
PSD-Dateien zu einem Absturz der Anwendung kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9842: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
PSD-Dateien zu einem Speicherleck (Memory Leak) kommen. Ein entfernter,
nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9841: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
PSD-Dateien zu einer Ausnahme (Exception) kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9838: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ‘magick/cache.c’ in ImageMagick kann es aufgrund
einer vollständigen Speichererschöpfung zu einem Absturz der Anwendung
kommen (Out-of-memory Crash). Ein entfernter, nicht authentifizierter
Angreifer kann mit Hilfe einer speziell präparierten Bilddatei einen
Denial-of-Service-Angriff ausführen.

CVE-2014-9836: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
XPM-Dateien zu einem Absturz der Anwendung kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9833: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
PSD-Dateien zu einem Überlauf auf dem Heap (Heap Overflow) kommen. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9832: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
PCX-Dateien zu einem Überlauf auf dem Heap (Heap Overflow) kommen. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9826: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
Sun-Dateien aufgrund falscher Fehlerbehandlung zu einem Absturz der
Anwendung kommen. Ein entfernter, nicht authentifizierter Angreifer kann mit
Hilfe einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
ausführen.

CVE-2014-9825: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung
korrumpierter PSD-Dateien zu einem Überlauf auf dem Heap (Heap Overflow)
kommen. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
ausführen.

CVE-2014-9824: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
PSD-Dateien zu einem Überlauf auf dem Heap (Heap Overflow) kommen. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9823: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
Palm-Dateien zu einem Überlauf auf dem Heap (Heap Overflow) kommen. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9822: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

In ‘Quantum File’ in ImageMagick existiert eine Schwachstelle, die auf einem
Heap-basierten Pufferüberlauf beruht. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle für einen
Denial-of-Service-Angriff ausnutzen.

CVE-2014-9821: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
XNM-Dateien zu einem Überlauf auf dem Heap (Heap Overflow) kommen. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9812: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle in ImageMagick besteht aufgrund einer
NULL-Zeiger-Dereferenzierung in der PostScript-Dateiverarbeitung. Ein
entfernter, nicht authentifizierter Angreifer kann dadurch einen
Denial-of-Service-Zustand auslösen.

CVE-2014-9806: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Eine nicht näher spezifizierte Schwachstelle in ImageMagick kann durch die
Verarbeitung einer manipulierten Datei zu einem partiellen
Denial-of-Service-Zustand führen.
Ein entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff ausführen.

CVE-2016-5688: Schwachstelle in ImageMagick ermöglicht u.a.
Denial-of-Service-Angriff

Bei der Verarbeitung von WPG-Dateien kommt es aufgrund der Validierung von
Eingangsparametern an falscher Stelle im Programmcode in Kombination mit
falscher Fehlerbehandlung zu einem Überlauf auf dem Heap (Heap Overflow) und
zu Schreibvorgängen an zufälligen Stellen im Speicher. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch einen Denial-of-Service-Angriff und
möglicherweise weitere Angriffe ausführen.

CVE-2015-8903: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
VICAR-Dateien zu einer Endlosschleife kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2015-8901: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
MIFF-Dateien zu einer Endlosschleife kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2015-8894: Schwachstelle in ImageMagick ermöglicht Ausführung beliebigen
Programmcodes

Durch eine Schwachstelle in ‘coders/tga.c’ kann es bei der Verarbeitung von
TGA-Bilddateien zur Freigabe bereits freigegebener Speicherbereiche kommen
(Double Free). Ein entfernter, nicht authentifizierter Angreifer kann dies
mit Hilfe einer speziell präparierten Bilddatei möglicherweise ausnutzen, um
beliebigen Programmcode auszuführen.

CVE-2014-9853: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
RLE-Dateien zu einem Speicherleck kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9847: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
PNG-Dateien zu einem Denial-of-Service-Zustand kommen, da versucht wird,
auch ein möglicherweise nicht existentes vorheriges Bild zu verarbeiten. Ein
entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff ausführen.

CVE-2014-9846: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
RLE-Dateien zum Zugriff auf Speicher außerhalb des zugewiesenen
Speicherbereichs kommen. Ein entfernter, nicht authentifizierter Angreifer
kann mit Hilfe einer speziell präparierten Bilddatei einen
Denial-of-Service-Angriff ausführen.

CVE-2014-9845: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
DIB-Dateien zu einem Denial-of-Service-Zustand kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9844: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
RLE-Dateien zum Zugriff auf Speicher außerhalb des zugewiesenen
Speicherbereichs (Out-of-bounds Access) kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9840: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
PALM-Dateien zum Zugriff auf Speicher außerhalb des zugewiesenen
Speicherbereichs (Out-of-bounds Access) kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9839: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es in
‘magick/colormap-private.h’ möglicherweise zum Zugriff auf Speicher
außerhalb des zugewiesenen Speicherbereichs kommen. Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff ausführen.

CVE-2014-9837: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
PNM-Dateien zu einer Schutzverletzung (Segmentation Fault, SEGV) kommen, da
auch korrupte Daten verarbeitet werden. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9835: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
WPF-Dateien zu einem Überlauf auf dem Heap kommen (Heap Overflow). Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9834: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
PICT-Dateien zu einem Überlauf auf dem Heap kommen (Heap Overflow). Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9831: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
beschädigten WPG-Dateien zu einem Denial-of-Service-Zustand kommen. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9830: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
beschädigten SUN-Dateien zu einem Denial-of-Service-Zustand kommen. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9829: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
SUN-Dateien zum Zugriff auf Speicher außerhalb des zugewiesenen
Speicherbereichs kommen. Ein entfernter, nicht authentifizierter Angreifer
kann mit Hilfe einer speziell präparierten Bilddatei einen
Denial-of-Service-Angriff ausführen.

CVE-2014-9828: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
PSD-Dateien mit vielen Farben zu einem Denial-of-Service-Zustand kommen. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9820: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
XPM-Dateien zu einem Überlauf auf dem Heap (Heap Overflow) kommen. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9819: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
PALM-Dateien zu einem Überlauf auf dem Heap (Heap Overflow) kommen. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9818: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
SUN-Dateien zum Zugriff auf Speicher außerhalb des zugewiesenen
Speicherbereichs (Out-of-bounds Access) kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9817: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
PDB-Dateien zu einem Pufferüberlauf auf dem Heap (Heap Buffer Overflow)
kommen. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
ausführen.

CVE-2014-9816: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
VIFF-Dateien zum Zugriff auf Speicher außerhalb des zugewiesenen
Speicherbereichs kommen. Ein entfernter, nicht authentifizierter Angreifer
kann mit Hilfe einer speziell präparierten Bilddatei einen
Denial-of-Service-Angriff ausführen.

CVE-2014-9815: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
WPG-Dateien zu einem Denial-of-Service-Zustand kommen. Ein entfernter, nicht
authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9814: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
WPG-Dateien zu einer NULL-Zeiger-Dereferenzierung kommen. Ein entfernter,
nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Bilddatei einen Denial-of-Service-Angriff ausführen.

CVE-2014-9813: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
VIFF-Dateien zu einer Speicherschutzverletzung (Segmentation Fault, SEGV)
kommen. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
ausführen.

CVE-2014-9811: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
XWD-Dateien zu einer Speicherschutzverletzung (Segmentation Fault, SEGV)
kommen. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
ausführen.

CVE-2014-9810: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
DPX-Dateien zu einer Speicherschutzverletzung (Segmentation Fault, SEGV)
kommen. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
ausführen.

CVE-2014-9809: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Bei der Verarbeitung von XWD-Dateien kann es zu einer
Speicherschutzverletzung kommen (Segmentation Fault, SEGV). Ein entfernter,
nicht authentifizierter Angreifer kann mit Hilfe speziell präparierter
Bilddateien einen Denial-of-Service-Angriff ausführen.

CVE-2014-9808: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Bei der Verarbeitung von DPC-Dateien kann es zu einer
Speicherschutzverletzung kommen (Segmentation Fault, SEGV). Ein entfernter,
nicht authentifizierter Angreifer kann mit Hilfe speziell präparierter
Bilddateien einen Denial-of-Service-Angriff ausführen.

CVE-2014-9807: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle im PDB-Coder von ImageMagick kann es zur Freigabe
von bereits freigegebenen Speicherbereichen kommen (Double Free). Ein
entfernter, nicht authentifizierter Angreifer kann dadurch einen
Denial-of-Service-Zustand auslösen.

CVE-2014-9805: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff

Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
PNM-Dateien zu einer Speicherschutzverletzung (Segmentation Fault, SEGV)
kommen. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
ausführen.

CVE-2015-8898: Schwachstelle in ImageMagick ermöglicht Denial-of-Service

In magick/constitute.c von ImageMagick existiert eine nicht näher
beschriebene Schwachstelle, die zu einem NULL-Zeigerzugriff (NULL Pointer
Access) führt. Ein lokaler, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2015-8897: Schwachstelle in ImageMagick ermöglicht u.a.
Denial-of-Service

In der Funktion SpliceImage von ImageMagick existiert eine nicht näher
beschriebene Schwachstelle, welche zu einem Fehler aufgrund Speicherzugriffs
außerhalb zugewiesener Grenzen (Out-of-bounds) führt, wodurch es zu einem
Absturz der Anwendung oder Offenlegung von Speicher kommen kann. Ein
lokaler, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff durchführen oder Informationen ausspähen.

CVE-2015-8896: Schwachstelle in ImageMagick ermöglicht Ausführen beliebigen
Programmcodes

In coders/pict.c von ImageMagick existiert eine nicht näher beschriebene
Schwachstelle, welche zu einem Abschneiden von Ganzzahlen (Integer
Truncation) führt. Ein entfernter, einfach authentifizierter Angreifer kann
nicht näher spezifizierte Angriffe durchführen, welche ihm möglicherweise
auch das Ausführen beliebigen Programmcodes ermöglichen.

CVE-2015-8895: Schwachstelle in ImageMagick ermöglicht Denial-of-Service

In coders/icon.c von ImageMagick existiert eine nicht näher beschriebene
Schwachstelle, welche zu einem Ganzzahlen- und Pufferspeicherüberlauf
(Integer and Buffer Overflow) führt. Ein entfernter, einfach
authentifizierter Angreifer kann einen Denial-of-Service-Angriff und
möglicherweise weitere Angriffe durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1090/

Schwachstelle CVE-2015-8894 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8894

Schwachstelle CVE-2016-4562 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4562

Schwachstelle CVE-2016-4563 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4563

Schwachstelle CVE-2016-4564 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4564

Schwachstelle CVE-2014-9805 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9805

Schwachstelle CVE-2014-9806 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9806

Schwachstelle CVE-2014-9807 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9807

Schwachstelle CVE-2014-9808 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9808

Schwachstelle CVE-2014-9809 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9809

Schwachstelle CVE-2014-9810 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9810

Schwachstelle CVE-2014-9811 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9811

Schwachstelle CVE-2014-9812 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9812

Schwachstelle CVE-2014-9813 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9813

Schwachstelle CVE-2014-9814 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9814

Schwachstelle CVE-2014-9815 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9815

Schwachstelle CVE-2014-9816 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9816

Schwachstelle CVE-2014-9817 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9817

Schwachstelle CVE-2014-9818 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9818

Schwachstelle CVE-2014-9819 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9819

Schwachstelle CVE-2014-9820 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9820

Schwachstelle CVE-2014-9821 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9821

Schwachstelle CVE-2014-9822 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9822

Schwachstelle CVE-2014-9823 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9823

Schwachstelle CVE-2014-9824 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9824

Schwachstelle CVE-2014-9825 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9825

Schwachstelle CVE-2014-9826 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9826

Schwachstelle CVE-2014-9828 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9828

Schwachstelle CVE-2014-9829 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9829

Schwachstelle CVE-2014-9830 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9830

Schwachstelle CVE-2014-9831 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9831

Schwachstelle CVE-2014-9832 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9832

Schwachstelle CVE-2014-9833 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9833

Schwachstelle CVE-2014-9834 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9834

Schwachstelle CVE-2014-9835 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9835

Schwachstelle CVE-2014-9836 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9836

Schwachstelle CVE-2014-9837 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9837

Schwachstelle CVE-2014-9838 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9838

Schwachstelle CVE-2014-9839 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9839

Schwachstelle CVE-2014-9840 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9840

Schwachstelle CVE-2014-9841 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9841

Schwachstelle CVE-2014-9842 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9842

Schwachstelle CVE-2014-9843 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9843

Schwachstelle CVE-2014-9844 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9844

Schwachstelle CVE-2014-9845 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9845

Schwachstelle CVE-2014-9846 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9846

Schwachstelle CVE-2014-9847 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9847

Schwachstelle CVE-2014-9848 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9848

Schwachstelle CVE-2014-9849 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9849

Schwachstelle CVE-2014-9850 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9850

Schwachstelle CVE-2014-9851 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9851

Schwachstelle CVE-2014-9852 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9852

Schwachstelle CVE-2014-9853 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9853

Schwachstelle CVE-2014-9854 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9854

Schwachstelle CVE-2015-8895 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8895

Schwachstelle CVE-2015-8896 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8896

Schwachstelle CVE-2015-8897 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8897

Schwachstelle CVE-2015-8898 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8898

Schwachstelle CVE-2015-8900 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8900

Schwachstelle CVE-2015-8901 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8901

Schwachstelle CVE-2015-8902 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8902

Schwachstelle CVE-2015-8903 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8903

Schwachstelle CVE-2016-5687 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5687

Schwachstelle CVE-2016-5688 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5688

Schwachstelle CVE-2016-5689 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5689

Schwachstelle CVE-2016-5690 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5690

Schwachstelle CVE-2016-5691 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5691

Schwachstelle CVE-2016-5841 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5841

Schwachstelle CVE-2016-5842 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5842

openSUSE Security Update openSUSE-SU-2016:1748-1:
http://lists.opensuse.org/opensuse-updates/2016-07/msg00018.html

SUSE Security Update SUSE-SU-2016:1783-1:
https://lists.opensuse.org/opensuse-security-announce/2016-07/msg00010.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben