Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (10.11.2014):
Für die Distribution Fedora 21 wurde ein Sicherheitsupdate veröffentlicht,
welches die Schwachstelle CVE-2014-1958 jedoch nicht adressiert.
Version 4 (01.09.2014):
Für die Distribution Fedora 20 wurde ein verbessertes Sicherheitsupdate
veröffentlicht.
Version 3 (21.08.2014):
Für GraphicsMagick werden Updates für die Distributionen Fedora EPEL 5,
EPEL6 und Fedora 19 und 20 veröffentlicht.
Version 2 (10.04.2014):
Debian hat Updates für die Distributionen Squeeze, Wheezy und Jessie
veröffentlicht.
Version 1 (02.04.2014):
Neues Advisory
Betroffene Software:
GraphicsMagick <= 1.3.19 ImageMagick <= 6.8.8-6 Betroffene Plattformen: Debian Linux 6.0.9 Squeeze Debian Linux 7.4 Wheezy Debian Linux 8.0 Jessie Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Durch mehrere Schwachstellen in ImageMagick ist es einem entfernten, nicht authentifizierten Angreifer möglich beliebigen Programmcode auszuführen. Patch: Fedora Update FEDORA-2014-4690 https://admin.fedoraproject.org/updates/FEDORA-2014-4690/ImageMagick-6.8.8.10-2.fc20
Patch:
Debian Security Advisory DSA-2898
http://www.debian.org/security/2014/dsa-2898
Patch:
Fedora Update FEDORA-2014-4969
https://admin.fedoraproject.org/updates/FEDORA-2014-4969/ImageMagick-6.8.6.3-4.fc20
Patch:
Fedora EPEL Security Update FEDORA-EPEL-2014-2257
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2257/GraphicsMagick-1.3.20-1.el6
Patch:
Fedora EPEL Security Update FEDORA-EPEL-2014-2269
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2269/GraphicsMagick-1.3.20-1.el5
Patch:
Fedora Security Update FEDORA-2014-9596
https://admin.fedoraproject.org/updates/FEDORA-2014-9596/GraphicsMagick-1.3.20-1.fc20
Patch:
Fedora Security Update FEDORA-2014-9624
https://admin.fedoraproject.org/updates/FEDORA-2014-9624/GraphicsMagick-1.3.20-1.fc19
Patch:
Fedora Security Update FEDORA-2014-9927
https://admin.fedoraproject.org/updates/FEDORA-2014-9927/GraphicsMagick-1.3.20-3.fc20
Patch:
Fedora Security Update FEDORA-2014-14617
https://admin.fedoraproject.org/updates/FEDORA-2014-14617/GraphicsMagick-1.3.20-3.fc21
CVE-2014-1947: Pufferüberlauf in ImageMagick und GraphicsMagick
Eine Schwachstelle in der Funktion “DecodePSDPixels()” in “coders/psd.c”
kann zu einem Pufferüberlauf beim Entschlüsseln einer PSD-Datei führen.
CVE-2014-2030: Pufferüberlauf-Schwachstelle in ImageMagick und
GraphicsMagick
In ImageMagick bzw. in dem Ableger GraphicsMagick existiert eine
Schwachstelle bei der Verarbeitung von PSD-Bildern, die zu einem
Pufferüberlauf führen kann. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um das Programm zum Absturz zu
bringen oder um beliebige Befehle mit den Rechten der Anwendung zur
Ausführung zu bringen, indem er ein entsprechend aufgebautes PSD-Bild an
eine verwundbare Anwendung schickt (z. B. Webserver).
CVE-2014-1958: Pufferüberlauf-Schwachstelle in ImageMagick
In ImageMagick existiert eine Schwachstelle bei der Verarbeitung von
PSD-Bildern, die zu einem Pufferüberlauf führen kann. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um das
Programm zum Absturz zu bringen oder um beliebige Befehle mit den Rechten
der Anwendung zur Ausführung zu bringen, indem er ein entsprechend
aufgebautes PSD-Bild an eine verwundbare Anwendung schickt (z. B.
Webserver).
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0399/
Schwachstelle CVE-2014-1947 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1947
Schwachstelle CVE-2014-1958 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1958
Schwachstelle CVE-2014-2030 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2030
Fedora Update FEDORA-2014-4690:
https://admin.fedoraproject.org/updates/FEDORA-2014-4690/ImageMagick-6.8.8.10-2.fc20
Debian Security Advisory DSA-2898:
http://www.debian.org/security/2014/dsa-2898
Fedora Update FEDORA-2014-4969:
https://admin.fedoraproject.org/updates/FEDORA-2014-4969/ImageMagick-6.8.6.3-4.fc20
Fedora EPEL Security Update FEDORA-EPEL-2014-2257:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2257/GraphicsMagick-1.3.20-1.el6
Fedora EPEL Security Update FEDORA-EPEL-2014-2269:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2269/GraphicsMagick-1.3.20-1.el5
Fedora Security Update FEDORA-2014-9596:
https://admin.fedoraproject.org/updates/FEDORA-2014-9596/GraphicsMagick-1.3.20-1.fc20
Fedora Security Update FEDORA-2014-9624:
https://admin.fedoraproject.org/updates/FEDORA-2014-9624/GraphicsMagick-1.3.20-1.fc19
Fedora Security Update FEDORA-2014-9927:
https://admin.fedoraproject.org/updates/FEDORA-2014-9927/GraphicsMagick-1.3.20-3.fc20
Fedora Security Update FEDORA-2014-14617:
https://admin.fedoraproject.org/updates/FEDORA-2014-14617/GraphicsMagick-1.3.20-3.fc21
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
