S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 02 septembre 2004
N° CERTA-2004-AVI-295-006
Affaire suivie par: CERT-FR
le 02 septembre 2004

Avis du CERT-FR

Objet: Vulnérabilité dans ImageMagick

Gestion du document

Référence CERTA-2004-AVI-295-006
Titre Vulnérabilité dans ImageMagick
Date de la première version 02 septembre 2004
Date de la dernière version 21 octobre 2004
Source(s) Bulletin de sécurité #1011103 de SecurityTracker
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

ImageMagick dont la version est antérieure à la 6.0.6-2.

Description

ImageMagick est un ensemble d'outils destinés au traitement d'images.

Une vulnérabilité de type débordement de mémoire présente dans la routine de décodage des fichiers BMP compressés au format RLE 8 bits peut être exploitée par une personne mal intentionnée mettant à disposition de l'utilisateur d'ImageMagick une image habilement constituée.

Solution

La version 6.0.6-2 d'ImageMagick corrige cette vulnérabilité.

Documentation

Gestion détaillée du document

    le 02 septembre 2004
    version initiale.
    le 08 septembre 2004
    ajout de la référence au bulletin de sécurité Gentoo.
    le 17 septembre 2004
    ajout de la référence au bulletin de sécurité Debian.
    le 22 septembre 2004
    ajout de la référence au bulletin de sécurité Sun.
    le 23 septembre 2004
    ajout de la référence au bulletin de sécurité Mandrake.
    le 28 septembre 2004
    ajout de la référence au bulletin FreeBSD et à la mise-à-jour NetBSD.
    le 21 octobre 2004
    ajout de la référence aux bulletins de sécurité de Red Hat.