Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
ImageMagick
Betroffene Plattformen:
SUSE Linux Enterprise Software Development Kit 12 SP2
SUSE Linux Enterprise Workstation Extension 12 SP2
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
Mehrere Schwachstellen in ImageMagick ermöglichen es einem entfernten, nicht
authentisierten Angreifer über präparierte Bilddateien verschiedene
Denial-of-Service (DoS)-Angriffe durchzuführen sowie Informationen
auszuspähen. Die schwerwiegendste Schwachstelle ermöglicht es dem Angreifer,
den gesamten zur Verfügung stehenden Speicher zu erschöpfen.
Für die SUSE Linux Enterprise Produkte Software Development Kit, Workstation
Extension, Desktop, Server und Server for Raspberry Pi in Version 12 SP2
stehen Sicherheitsupdates für ImageMagick bereit.
Patch:
SUSE Security Update SUSE-SU-2017:1489-1
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002937.html
CVE-2017-9143: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Die Funktion ‘ReadARTImage’ in ‘coders/art.c’ in ImageMagick 7.0.5-5
ermöglicht es einem entfernten, nicht authentisierten Angreifer, über eine
präparierte Bilddatei ein Speicherleck zu verursachen und in der Folge einen
Denial-of-Service (DoS)-Zustand zu bewirken.
CVE-2017-8830: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Die Funktion ‘ReadBMPImage’ in ‘bmp.c’ in ImageMagick 7.0.5-6 ermöglicht es
einem entfernten, nicht authentisierten Angreifer, über eine präparierte
Bilddatei ein Speicherleck zu verursachen und in der Folge einen
Denial-of-Service (DoS)-Zustand zu bewirken.
CVE-2017-8357: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Die Funktion ‘ReadEPTImage’ in ‘ept.c’ in ImageMagick 7.0.5-5 ermöglicht es
einem entfernten, nicht authentisierten Angreifer, über eine präparierte
Bilddatei ein Speicherleck zu verursachen und in der Folge einen
Denial-of-Service (DoS)-Zustand zu bewirken.
CVE-2017-8356: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Die Funktion ‘ReadSUNImage’ in ‘sun.c’ in ImageMagick 7.0.5-5 ermöglicht es
einem entfernten, nicht authentisierten Angreifer, über eine präparierte
Bilddatei ein Speicherleck zu verursachen und in der Folge einen
Denial-of-Service (DoS)-Zustand zu bewirken.
CVE-2017-8355: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Über die Funktion ‘ReadMTVImage’ innerhalb von ‘mtv.c’ in ImageMagick
7.0.5-5 lässt sich ein Speicherleck erzeugen. Ein entfernter, nicht
authentisierter Angreifer kann dadurch mit Hilfe einer speziell präparierten
Bilddate vom Typ ‘MTV’ einen Denial-of-Service-Angriff ausführen.
CVE-2017-8354: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Die Funktion ‘ReadBMPImage’ in ‘bmp.c’ in ImageMagick 7.0.5-5 ermöglicht es
einem entfernten, nicht authentisierten Angreifer, über eine präparierte
Bilddatei ein Speicherleck zu verursachen und in der Folge einen
Denial-of-Service (DoS)-Zustand zu bewirken.
CVE-2017-8353: Schwachstelle in ImageMagick ermglicht
Denial-of-Service-Angriff
Über die Funktion ‘ReadPICTImage’ innerhalb von ‘pict.c’ in ImageMagick
7.0.5-5 lässt sich ein Speicherleck erzeugen. Ein entfernter, nicht
authentisierter Angreifer kann dadurch mit Hilfe einer speziell präparierten
Bilddatei vom Typ ‘PICT’ einen Denial-of-Service-Angriff ausführen.
CVE-2017-8352: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Die Funktion ‘ReadXWDImage’ in ‘xwd.c’ in ImageMagick 7.0.5-5 ermöglicht es
einem entfernten, nicht authentisierten Angreifer, über eine präparierte
Bilddatei ein Speicherleck zu verursachen und in der Folge einen
Denial-of-Service (DoS)-Zustand zu bewirken.
CVE-2017-8351: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Über die Funktion ‘ReadPCDImage’ innerhalb von ‘pcd.c’ in ImageMagick
7.0.5-5 lässt sich ein Speicherleck erzeugen. Ein entfernter, nicht
authentisierter Angreifer kann dadurch mit Hilfe einer speziell präparierten
Bilddatei vom Typ ‘PCD’ einen Denial-of-Service-Angriff ausführen.
CVE-2017-8350: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Über die Funktion ‘ReadJNGImage’ innerhalb von ‘png.c’ in ImageMagick
7.0.5-5 lässt sich ein Speicherleck erzeugen. Ein entfernter, nicht
authentisierter Angreifer kann dadurch mit Hilfe einer speziell präparierten
Bilddatei vom Typ ‘JNG’ einen Denial-of-Service-Angriff ausführen.
CVE-2017-8349: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Die Funktion ‘ReadSFWImage’ in ‘sfw.c’ in ImageMagick 7.0.5-5 ermöglicht es
einem entfernten, nicht authentisierten Angreifer über eine präparierte
Bilddatei ein Speicherleck zu verursachen und in der Folge einen
Denial-of-Service (DoS)-Zustand zu bewirken.
CVE-2017-8348: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Die Funktion ‘ReadMATImage’ in ‘mat.c’ in ImageMagick 7.0.5-5 ermöglicht es
einem entfernten, nicht authentisierten Angreifer, über eine präparierte
Bilddatei ein Speicherleck zu verursachen und in der Folge einen
Denial-of-Service (DoS)-Zustand zu bewirken.
CVE-2017-8347: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Die Funktion ‘ReadEXRImage’ in ‘exr.c’ in ImageMagick 7.0.5-5 ermöglicht es
einem entfernten, nicht authentisierten Angreifer, über eine präparierte
Bilddatei ein Speicherleck zu verursachen und in der Folge einen
Denial-of-Service (DoS)-Zustand zu bewirken.
CVE-2017-8346: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Die Funktion ‘ReadDCMImage’ in ‘dcm.c’ in ImageMagick 7.0.5-5 ermöglicht es
einem entfernten, nicht authentisierten Angreifer, über eine präparierte
Bilddatei ein Speicherleck zu verursachen und in der Folge einen
Denial-of-Service (DoS)-Zustand zu bewirken.
CVE-2017-8345: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Die Funktion ‘ReadMNGImage’ in ‘png.c’ in ImageMagick 7.0.5-5 ermöglicht es
einem entfernten, nicht authentisierten Angreifer, über eine präparierte
Bilddatei ein Speicherleck zu verursachen und in der Folge einen
Denial-of-Service (DoS)-Zustand zu bewirken.
CVE-2017-8344: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Die Funktion ‘ReadPCXImage’ in ‘pcx.c’ in ImageMagick 7.0.5-5 ermöglicht es
einem entfernten, nicht authentisierten Angreifer, über eine präparierte
Bilddatei ein Speicherleck zu verursachen und in der Folge einen
Denial-of-Service (DoS)-Zustand zu bewirken.
CVE-2017-8343: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Die Funktion ‘ReadAAIImage’ in ‘aai.c’ in ImageMagick 7.0.5-5 ermöglicht es
einem entfernten, nicht authentisierten Angreifer, über eine präparierte
Bilddatei ein Speicherleck zu verursachen und in der Folge einen
Denial-of-Service (DoS)-Zustand zu bewirken.
CVE-2017-6502: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
In ImageMagick 6.9.7 existiert eine nicht näher beschriebene Schwachstelle,
die es einem entfernten, nicht authentisierten Angreifer ermöglicht mit
einer präparierten WebP-Datei ein Speicherleck in einem Datei-Descriptor in
‘libmagickcore’ zu verursachen, wodurch ein Denial-of-Service (DoS)-Zustand
eintritt.
CVE-2017-7942: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Eine Schwachstelle in der ‘ReadAVSImage’ Funktion in ‘avs.c’ in ImageMagick
7.0.5-4 beruht auf der fehlerhaften Verarbeitung manipulierter Dateien. Ein
entfernter, nicht authentisierter Angreifer kann dies ausnutzen, um einen
Teil des verfügbaren Speichers zu verbrauchen und darüber einen
Denial-of-Service-Zustand zu bewirken.
CVE-2017-9144: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Aufgrund des falschen Umgangs mit End-of-File (EOF) Begrenzungen in
‘coders/rle.c’ existiert eine Schwachstelle in ImageMagick 7.0.5-5. Diese
ermöglicht es einem entfernten, nicht authentisierten Angreifer, über eine
präparierte RLE-Bilddatei einen Programmabsturz zu verursachen und in der
Folge einen Denial-of-Service (DoS)-Zustand zu bewirken.
CVE-2017-9142: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
In der Funktion ‘ReadOneJNGImage’ in ‘coders/png.c.’ in ImageMagick 7.0.5-7
Q16 existiert aufgrund fehlender Überprüfungen eine Schwachstelle, wodurch
ein entfernter, nicht authentisierter Angreifer über eine präparierte
Bilddatei einen Ausnahmefehler in der Funktion ‘WriteBlob’ in
‘MagickCore/blob.c’ auslösen kann.
CVE-2017-9141: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
In der Funktion ‘ReadDDSImage’ in ‘coders/dds.c.’ in ImageMagick 7.0.5-7 Q16
existiert aufgrund fehlender Überprüfungen eine Schwachstelle, durch die ein
entfernter, nicht authentisierter Angreifer über eine präparierte Bilddatei
einen Ausnahmefehler in der Funktion ‘ResetImageProfileIterator’ in
‘MagickCore/profile.c’ auslösen kann.
CVE-2017-9098: Schwachstelle in ImageMagick / GraphicsMagick ermöglicht
Ausspähen von Informationen
Der RLE-Decoder in ImageMagick vor Version 7.0.5-2 und GraphicsMagick vor
Version 1.3.24 verwendet aufgrund eines vergessenen Initialisierungsschritts
in der Funktion ‘ReadRLEImage’ nicht initialisierten Speicher. Ein
entfernter, nicht authentisierter Angreifer kann Prozessspeicher ausspähen
und so an sensitive Informationen gelangen.
CVE-2017-8765: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Die Funktion ‘ReadICONImage’ in ‘coders\icon.c’ in ImageMagick 7.0.5-5
ermöglicht es einem entfernten, nicht authentisierten Angreifer, über eine
speziell präparierte ICON-Bilddatei den gesamten verfügbaren Speicher
auszuschöpfen und in der Folge einen Denial-of-Service (DoS)-Zustand zu
bewirken.
CVE-2017-7943: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
Die Funktion ‘ReadSVGImage’ in ‘svg.c’ in ImageMagick 7.0.5-4 ermöglicht es
einem entfernten, nicht authentisierten Angreifer über eine präparierte
Bilddatei eine große Menge Systemspeicher aufzubrauchen und so einen
Denial-of-Service (DoS)-Zustand zu bewirken.
CVE-2017-7606: Schwachstelle in ImageMagick ermöglicht
Denial-of-Service-Angriff
In ‘coders/rle.c’ in ImageMagick 7.0.5-4 besteht eine Schwachstelle, die es
einem entfernten, nicht authentisierten Angreifer ermöglicht, mit Hilfe
einer speziell präparierten Bilddatei ein nicht definiertes Verhalten
auszulösen und in der Folge einen Denial-of-Service (DoS)-Zustand zu
bewirken. Möglicherweise kann der Angreifer weiteren Einfluss auf das System
ausüben.
CVE-2017-7941: Schwachstelle in ImageMagick / GraphicsMagick ermöglicht
Denial-of-Service-Angriff
In der Funktion ‘ReadSGIImage’ in ‘sgi.c’ ImageMagick / GraphicsMagick
existiert eine nicht näher beschriebene Schwachstelle, die ein entfernter,
nicht authentisierter Angreifer mit Hilfe einer speziell präparierten Datei
ausnutzen kann, um eine große Menge des verfügbaren Arbeitsspeichers zu
konsumieren und so einen Denial-of-Service (DoS)-Zustand herbeizuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0970/
Schwachstelle CVE-2017-6502 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6502
Schwachstelle CVE-2017-7606 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7606
Schwachstelle CVE-2017-7941 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7941
Schwachstelle CVE-2017-7942 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7942
Schwachstelle CVE-2017-7943 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7943
Schwachstelle CVE-2017-8343 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8343
Schwachstelle CVE-2017-8344 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8344
Schwachstelle CVE-2017-8345 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8345
Schwachstelle CVE-2017-8346 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8346
Schwachstelle CVE-2017-8347 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8347
Schwachstelle CVE-2017-8348 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8348
Schwachstelle CVE-2017-8349 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8349
Schwachstelle CVE-2017-8350 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8350
Schwachstelle CVE-2017-8351 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8351
Schwachstelle CVE-2017-8352 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8352
Schwachstelle CVE-2017-8353 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8353
Schwachstelle CVE-2017-8354 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8354
Schwachstelle CVE-2017-8355 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8355
Schwachstelle CVE-2017-8356 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8356
Schwachstelle CVE-2017-8357 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8357
Schwachstelle CVE-2017-8765 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8765
Schwachstelle CVE-2017-8830 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8830
Schwachstelle CVE-2017-9098 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9098
Schwachstelle CVE-2017-9141 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9141
Schwachstelle CVE-2017-9142 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9142
Schwachstelle CVE-2017-9143 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9143
Schwachstelle CVE-2017-9144 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9144
SUSE Security Update SUSE-SU-2017:1489-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002937.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
