DFN-CERT-2015-0347 ImageMagick: Mehrere Out-of-Bounds-Speicherzugriff-Schwachstellen ermöglichen verschiedene Angriffe [Linux][Fedora]

DFN-CERT-2015-0347 ImageMagick: Mehrere Out-of-Bounds-Speicherzugriff-Schwachstellen ermöglichen verschiedene Angriffe [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

ImageMagick

Betroffene Plattformen:

Red Hat Fedora 20
Red Hat Fedora 21
Red Hat Fedora 22

Durch Ausnutzen dieser Schwachstellen (“out-of-bounds memory access”) kann
ein entfernter, nicht authentisierter Angreifer Speicher außerhalb von
Begrenzungen auslesen und dadurch möglicherweise sensible Informationen
ausspähen oder einen Speicherüberlauf auslösen, wodurch ein
Denial-of-Service (DoS)-Zustand herbeigeführt werden kann. Für Fedora 20, 21
und 22 werden aktualisierte Pakete von ImageMagick-6.8.6.3-6.fc20,
ImageMagick-6.8.8.10-6.fc21, bzw. ImageMagick-6.8.8.10-9.fc22 (alle im
Status “testing”) zur Verfügung gestellt, um diese Schwachstellen zu
beheben.

Patch:

Fedora Security Update FEDORA-2015-3605

https://admin.fedoraproject.org/updates/FEDORA-2015-3605/ImageMagick-6.8.8.10-9.fc22

Patch:

Fedora Security Update FEDORA-2015-3612

https://admin.fedoraproject.org/updates/FEDORA-2015-3612/ImageMagick-6.8.8.10-6.fc21

Patch:

Fedora Security Update FEDORA-2015-3738

https://admin.fedoraproject.org/updates/FEDORA-2015-3738/ImageMagick-6.8.6.3-6.fc20

CVE-2014-8354: Out-of-Bounds-Schwachstelle in ImageMagick im Resize-Code

Eine Schwachstelle in ImageMagick in der Funktion HorizontalFilter() in der
Datei resize.c erlaubt das Lesen außerhalb von Speicherbegrenzungen und kann
zu einem Heap-Pufferspeicherüberlauf führen (“out of bounds read” / “heap
overflow”). Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, indem er ein Bild der Größe 0x0 an eine verwundbare
Anwendung sendet, um Informationen auszuspähen oder die Anwendung zum
Absturz zu bringen (Denial-of-Service). GraphicsMagick, ein “fork” von
ImageMagick, ist nicht betroffen.

CVE-2014-8355: Out-of-bounds-Schwachstelle in ImageMagick im PCX-Parser

Eine Schwachstelle in ImageMagick in der Funktion ReadPCXImage in der Datei
pcx.c erlaubt das Lesen außerhalb von Speicherbegrenzungen und kann zu einem
Heap-Pufferspeicherüberlauf führen (“out of bounds read” / “heap overflow”).
Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, indem er ein Bild der Größe 0x0 an eine verwundbare Anwendung
sendet, um Informationen auszuspähen oder die Anwendung zum Absturz zu
bringen (Denial-of-Service). GraphicsMagick, ein “fork” von ImageMagick, ist
nicht betroffen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0347/

Schwachstelle CVE-2014-8355 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8355

Schwachstelle CVE-2014-8354 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8354

Fedora Security Update FEDORA-2015-3605:
https://admin.fedoraproject.org/updates/FEDORA-2015-3605/ImageMagick-6.8.8.10-9.fc22

Fedora Security Update FEDORA-2015-3612:
https://admin.fedoraproject.org/updates/FEDORA-2015-3612/ImageMagick-6.8.8.10-6.fc21

Fedora Security Update FEDORA-2015-3738:
https://admin.fedoraproject.org/updates/FEDORA-2015-3738/ImageMagick-6.8.6.3-6.fc20

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben