UPDATE: DFN-CERT-2014-0289 ImageMagick: Mehrere Schwachstellen ermöglichen Ausführung beliebigen Programmcodes [Linux][SuSE]

UPDATE: DFN-CERT-2014-0289 ImageMagick: Mehrere Schwachstellen ermöglichen Ausführung beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (13.03.2014):
Für openSUSE 12.3 und 13.1 stehen Sicherheitsupdates zur Verfügung, die
zwei Schwachstellen (CVE-2014-1958 und CVE-2014-2030) beheben.
Version 1 (10.03.2014):
Neues Advisory

Betroffene Software:

ImageMagick < 6.8.8-5 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 openSUSE 12.3 openSUSE 13.1 Mehrere Schwachstellen in ImageMagick kann ein entfernter, nicht authentifizierter Angreifer ausnutzen, um das betroffene Programm zum Absturz zu bringen oder um beliebige Befehle mit den Rechten der Anwendung auszuführen. Patch: Ubuntu Security Notice USN-2132-1 http://www.ubuntu.com/usn/usn-2132-1/

Patch:

openSUSE Security Update openSUSE-SU-2014:0362-1

http://lists.opensuse.org/opensuse-updates/2014-03/msg00032.html

CVE-2014-2030: Pufferüberlauf-Schwachstelle in ImageMagick

In ImageMagick existiert eine Schwachstelle bei der Verarbeitung von
PSD-Bildern, die zu einem Pufferüberlauf führen kann. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um das
Programm zum Absturz zu bringen oder um beliebige Befehle mit den Rechten
der Anwendung zur Ausführung zu bringen, indem er ein entsprechend
aufgebautes PSD-Bild an eine verwundbare Anwendung schickt (z. B.
Webserver).

CVE-2014-1958: Pufferüberlauf-Schwachstelle in ImageMagick

In ImageMagick existiert eine Schwachstelle bei der Verarbeitung von
PSD-Bildern, die zu einem Pufferüberlauf führen kann. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um das
Programm zum Absturz zu bringen oder um beliebige Befehle mit den Rechten
der Anwendung zur Ausführung zu bringen, indem er ein entsprechend
aufgebautes PSD-Bild an eine verwundbare Anwendung schickt (z. B.
Webserver).

CVE-2012-0260: Schwachstelle in ImageMagick bei der Bearbeitung von
JPEG-Bildern

Bei der Bearbeitung von JPEG-Bildern in ImageMagick wird unter Umständen zu
viel Speicher reserviert. Ein entfernter, nicht authentifizierter Angreifer
kann die Schwachstelle ausnutzen, um ImageMagick zum Absturz zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0289/

Schwachstelle CVE-2014-2030 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2030

Schwachstelle CVE-2014-1958 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1958

Ubuntu Security Notice USN-2132-1:
http://www.ubuntu.com/usn/usn-2132-1/

Schwachstelle CVE-2012-0260 (NVD) :
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0260

openSUSE Security Update openSUSE-SU-2014:0362-1:
http://lists.opensuse.org/opensuse-updates/2014-03/msg00032.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben