Risques
- Déni de service
- Exécution de code arbitraire
Systèmes affectés
ImageMagick 6.2.8 et versions antérieures.
Description
Une vulnérabilité de type débordement de mémoire a été découverte dans l'application ImageMagick. Elle permet à un utilisateur mal intentionné de provoquer un déni de service au moyen d'une image au format SGI spécialement construite. Cette vulnérabilité pourrait également permettre l'exécution de code arbitraire sur le système vulnérable.
Solution
Appliquer la mise à jour de sécurité en passant à la version 6.2.9 de ImageMagick disponible à l'adresse suivante :
http://www.imagemagick.org/script/download.php
Documentation
- Mise à jour de sécurité ImageMagick http://www.imagemagick.org/script/download.php
- Bulletin de sécurité Debian DSA-1168 du 04 septembre 2006 : http://www.debian.org/security/2006/dsa-1168
- Bulletin de sécurité Gentoo GLSA-200609-14 du 26 septembre 2006 : http://www.gentoo.org/security/en/glsa/glsa-200609-14.xml
- Bulletin de sécurité Mandriva MDKSA-2006:155 du 29 août 2006 : http://www.mandriva.com/security/advisories?name=MDKSA-2006:155
- Bulletin de sécurité RedHat RHSA-2006:0633 du 24 août 2006 : http://rhn.redhat.com/errata/RHSA-2006-0633.html
- Bulletin de sécurité SuSE SUSA-SA:2006:050 du 08 septembre 2006 : http://www.novell.com/linux/security/advisories/2006_50_imagemagick.html
- Bulletin de sécurité Ubuntu USN-340-1 du 06 septembre 2006 : http://www.ubuntu.com/usn/usn-340-1
- Site Internet de l'éditeur : http://www.imagemagick.org
- Référence CVE CVE-2006-3743 https://www.cve.org/CVERecord?id=CVE-2006-3743
- Référence CVE CVE-2006-3744 https://www.cve.org/CVERecord?id=CVE-2006-3744