Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket ImageMagick

Betroffene Plattformen:

Fedora 16
Fedora 17

Aufgrund einer Schwachstelle in ImageMagick ist es einem entfernten
Angreifer möglich einen Denial-of-Service-Zustand herbeizuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-3437: Schwachstelle in ImageMagick

In ImageMagick der Version 6.7.8-6 wird in der Funktion Magick_png_malloc()
in der Datei ‘coders/png.c’ versäumt den korrekten Variablentyp für das
‘size’-Argument anzugeben. Dieses bestimmt die Größe des zu allozierenden
Speichers. Eine Fehlfunktion wird erst bei einer Anfrage für Speicher über
4GB oder bei ‘Big-Endian’-Systemen sichtbar. Einem entfernten Angreifer
ermöglicht dies durch das Bereitstellen einer präparierten PNG-Datei einen
Denial-of-Service-Zustand auszulösen. Voraussetzung dafür ist, dass die
präparierte Datei mit ImageMagick geöffnet wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1666/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-August/085641.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-August/085670.html

Schwachstelle CVE-2012-3437:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3437

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.