Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
ImageMagick versions inférieures à la version 6.2.5.5.
Résumé
Une vulnérabilité présente dans le logiciel ImageMagick permet à un utilisateur mal intentionné de provoquer l'arrêt inopiné du programme ou d'exécuter du code arbitraire à distance.
Description
ImageMagick est une suite logicielle permettant de manipuler et gérer des images. Il peut être utilisé comme système de gestion de contenu ou de galeries d'images.
Une vulnérabilité de type format de chaîne de caractères a été découverte dans cette suite logicielle. L'exploitation de cette faille permet à un utilisateur mal intentionner de provoquer l'arrêt du logiciel ou d'exécuter du code arbitraire à distance, via un nom de fichier malicieusement construit.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Gentoo GLSA-200602-06 du 13 février 2006 : http://www.gentoo.org/security/en/glsa/glsa-200602-06.xml
- Bulletin de sécurité Gentoo GLSA-200602-13 du 26 février 2006 : http://www.gentoo.org/security/en/glsa/glsa-200602-13.xml
- Bulletin de sécurité Mandriva MDKSA-2006:024 du 13 février 2006 : http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:024
- Bulletin de sécurité RedHat RHSA-2006:0178 du 13 février 2006 : http://rhn.redhat.com/errata/RHSA-2006-0178.html
- Bulletin de sécurité RedHat RHSA-2006:0178 du 14 février 2006 : https://rhn.redhat.com/errata/RHSA-2006-0178.html
- Bulletin de sécurité Ubuntu USN-246-1 du 14 février 2006 : http://www.ubuntulinux.org/usn/usn-246-1
- Document de sécurité 231321 publié par Sun Microsystems le 30 janvier 2008 : http://sunsolve.sun.com/search/document.do?assetkey=1-66-231321-1
- Référence CVE CVE-2006-0082 https://www.cve.org/CVERecord?id=CVE-2006-0082