DFN-CERT-2014-0289 ImageMagick: Mehrere Schwachstellen ermöglichen Ausführung beliebigen Programmcodes [Linux]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

ImageMagick < 6.8.8-5 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Mehrere Schwachstellen in ImageMagick kann ein entfernter, nicht authentifizierter Angreifer ausnutzen, um das betroffene Programm zum Absturz zu bringen oder um beliebige Befehle mit den Rechten der Anwendung auszuführen. Patch: Ubuntu Security Notice USN-2132-1 http://www.ubuntu.com/usn/usn-2132-1/

CVE-2014-2030: Pufferüberlauf-Schwachstelle in ImageMagick

In ImageMagick existiert eine Schwachstelle bei der Verarbeitung von
PSD-Bildern, die zu einem Pufferüberlauf führen kann. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um das
Programm zum Absturz zu bringen oder um beliebige Befehle mit den Rechten
der Anwendung zur Ausführung zu bringen, indem er ein entsprechend
aufgebautes PSD-Bild an eine verwundbare Anwendung schickt (z. B.
Webserver).

CVE-2014-1958: Pufferüberlauf-Schwachstelle in ImageMagick

CVE-2012-0260: Schwachstelle in ImageMagick bei der Bearbeitung von
JPEG-Bildern

Bei der Bearbeitung von JPEG-Bildern in ImageMagick wird unter Umständen zu
viel Speicher reserviert. Ein entfernter, nicht authentifizierter Angreifer
kann die Schwachstelle ausnutzen, um ImageMagick zum Absturz zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0289/

Schwachstelle CVE-2014-2030 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2030

Schwachstelle CVE-2014-1958 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1958

Ubuntu Security Notice USN-2132-1:
http://www.ubuntu.com/usn/usn-2132-1/

Schwachstelle CVE-2012-0260 (NVD) :
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0260