Risque
- Exécution de code arbitraire ;
- déni de service.
Systèmes affectés
Toutes les versions de ImageMagick antérieures à la version 6.2.
Description
ImageMagick est un ensemble d'outils destinés au traitement d'images.
Plusieurs vulnérabilités présentes dans le traitement des images au format TIFF (CAN-2005-0759 et CAN-2005-0760) ou SGI(CAN-2005-0762) et des informations PSD (CAN-2005-0761) peuvent être exploitées par une personne mal intentionnée en mettant à disposition de l'utilisateur d'ImageMagick une image habilement constituée.
Une vulnérabilité de type chaîne de format est également présente dans la gestion des noms de fichiers image (CAN-2005-0397).
Solution
La version 6.2.0-8 corrige ces vulnérabilités.
Documentation
- Site Internet d'ImageMagick :
http://www.imagemagick.org
- Bulletin de sécurité Gentoo GLSA 200503-11 du 06 mars 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200503-11.xml
- Bulletin de sécurité RedHat RHSA-2005:070 du 23 mars 2005 :
https://rhn.redhat.com/errata/RHSA-2005-070.html
- Bulletin de sécurité RedHat RHSA-2005:320 du 23 mars 2005 :
https://rhn.redhat.com/errata/RHSA-2005-320.html
- Mise à jour de sécurité pour Fedora Core 2 du 31 mars 2005 :
http://download.fedora.redhat.com/pub/fedora/linux/core/updates/2/
- Mise à jour de sécurité pour Fedora Core 3 du 31 mars 2005 :
http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/
- Bulletin de sécurité SuSE SuSE-SA:2005:017 du 23 mars 2005 :
http://www.novell.com/linux/security/advisories/2005_17_imagemagick.html
- Bulletin de sécurité Mandrake MDKSA-2005:065 du 01 avril 2005 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:065
- Bulletin de sécurité Debian DSA-702 du 01 avril 2005 :
http://www.debian.org/security/2005/dsa-702
- Bulletin de sécurité FreeBSD pour ImageMagick du 03 mars 2005 :
http://www.vuxml.org/freebsd/pkg-ImageMagick.html
- Référence CVE CAN-2005-0397 :
https://www.cve.org/CVERecord?id=CAN-2005-0397
- Référence CVE CAN-2005-0759 :
https://www.cve.org/CVERecord?id=CAN-2005-0759
- Référence CVE CAN-2005-0760 :
https://www.cve.org/CVERecord?id=CAN-2005-0760
- Référence CVE CAN-2005-0761 :
https://www.cve.org/CVERecord?id=CAN-2005-0761
- Référence CVE CAN-2005-0762 :
https://www.cve.org/CVERecord?id=CAN-2005-0762