DFN-CERT-2012-0961 Mehrere Schwachstellen in ImageMagick [Linux][Mandriva]

DFN-CERT-2012-0961 Mehrere Schwachstellen in ImageMagick [Linux][Mandriva]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket imagemagick

Betroffene Plattformen:

Mandriva Linux 2011
Mandriva Linux 2011/X86_64

Mehrere Schwachstellen in ImageMagick erlauben einem entfernten Angreifer
schlimmstenfalls die Ausführung von beliebigen Code mit den Rechten der
Anwendung.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://www.mandriva.com/security

CVE-2012-0259: Schwachstelle in ImageMagick bei der Bearbeitung von
JPEG-Bildern

Bei der Bearbeitung von JPEG-Bildern in ImageMagick existiert eine
Schwachstelle, die bei JPEG-Bildern mit ungültigem EXIF XResolution-Tag
auftritt. Ein entfernter Angreifer kann die Schwachstelle ausnutzen, um
ImageMagick zum Absturz zu bringen.

CVE-2012-1798: Schwachstelle in ImageMagick bei der Bearbeitung von
TIFF-Bildern

Aufgrund des fehlerhaften Zugriffs auf Speicher bei der Bearbeitung von EXIF
IFD in TIFF-Bildern in ImageMagick ist ein DoS-Angriff auf das Programm
möglich.

CVE-2012-1185: Fehlerhafter Patch in ImageMagick

Der Patch für die Schwachstelle in CVE-2012-0247 kann zu einem Integer
Overflow in ImageMagick führen. Dies ermöglicht es, die Überprüfung der
Länge zu umgehen und eine Verletzung von Speicherstrukturen herbeizuführen.
Ein entfernter Angreifer kann die Schwachstelle ausnutzen, um ImageMagick
zum Absturz oder eventuell beliebigen Code zur Ausführung zu bringen.

CVE-2012-0260: Schwachstelle in ImageMagick bei der Bearbeitung von
JPEG-Bildern

Bei der Bearbeitung von JPEG-Bildern in ImageMagick wird unter Umständen zu
viel Speicher reserviert. Ein entfernter Angreifer kann die Schwachstelle
ausnutzen, um ImageMagick zum Absturz zu bringen.

CVE-2012-0248: Schwachstelle in ImageMagick

ImageMagick enthält eine Schwachstelle beim Verarbeiten des Image File
Directories (IFD). Zeigen alle im IFD enthaltenen IOPs wiederum auf den
Beginn des Image File Directories, wird eine Endlosschleife ausgeführt und
es kommt zu einem Denial-of-Service Zustand. Dies ermöglicht einem
entfernten Angreifer durch das Bereitstellen eines präparierten Bildes einen
Denial-of-Service Angriff durchzuführen. Voraussetzung dafür ist, dass der
Benutzer das Bild mit ImageMagick öffnet.

CVE-2012-0247: Schwachstelle in ImageMagick

ImageMagick enthält eine Schwachstelle beim Verarbeiten von falschen Offset-
und Count-Werten im Tag “ResolutionUnit” (“EXIF IFD0”). Dies ermöglicht
einem entfernten Angreifer durch das Bereitstellen eines präparierten Bildes
2 Bytes an eine ungültige Speicheradresse zu schreiben. Voraussetzung dafür
ist, dass der Benutzer das Bild mit ImageMagick öffnet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0961/

Das Hersteller Advisory:
http://www.mandriva.com/security/advisories?name=MDVSA-2012:078

Schwachstelle CVE-2012-0247:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0247

Schwachstelle CVE-2012-0248:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0248

Schwachstelle CVE-2012-1185:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1185

Schwachstelle CVE-2012-0259:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0259

Schwachstelle CVE-2012-0260:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0260

Schwachstelle CVE-2012-1798:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1798

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben