漏洞信息详情
ImageMagick DCM、DIB、XBM、XCF及XWD图形文件处理整数溢出漏洞
- CNNVD编号:CNNVD-200709-342
- 危害等级: 高危
- CVE编号: CVE-2007-4986
- 漏洞类型: 数字错误
- 发布时间: 2007-09-24
- 威胁类型: 远程
- 更新时间: 2009-08-15
- 厂 商: imagemagick
- 漏洞来源: regenrecht
漏洞简介
ImageMagick是美国ImageMagick Studio公司的一套开源的图象处理软件。该软件可读取、转换、写入多种格式的图片。
ImageMagick处理各种图形文件格式时存在多个整数溢出漏洞,远程攻击者可能利用此漏洞通过诱使用户打开恶意文件控制系统。
如果用户受骗打开了特制的DCM、DIB、XBM、XCF或XWD图形文件的话,就可能导致分配不充分的堆缓冲区,最终触发堆溢出。
漏洞公告
临时解决方法:
* 删除相关的模块文件。
Gentoo已经为此发布了一个安全公告(GLSA-200710-27)以及相应补丁:
GLSA-200710-27:ImageMagick: Multiple vulnerabilities
链接:
http://security.gentoo.org/glsa/glsa-200710-27.xml
所有ImageMagick用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose ">=media-gfx/imagemagick-6.3.5.10"
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
ftp://ftp.imagemagick.org/pub/ImageMagick/ImageMagick-6.3.5-10.tar.gz target=_blank>ftp://ftp.imagemagick.org/pub/ImageMagick/ImageMagick-6.3.5-10.tar.gz
参考网址
来源: BID
名称: 25763
链接:http://www.securityfocus.com/bid/25763
来源: issues.rpath.com
链接:https://issues.rpath.com/browse/RPL-1743
来源: XF
名称: imagemagick-multiplefunctions-bo(36738)
链接:http://xforce.iss.net/xforce/xfdb/36738
来源: UBUNTU
名称: USN-523-1
链接:http://www.ubuntu.com/usn/usn-523-1
来源: SECTRACK
名称: 1018729
链接:http://www.securitytracker.com/id?1018729
来源: BUGTRAQ
名称: 20071112 FLEA-2007-0066-1 ImageMagick
链接:http://www.securityfocus.com/archive/1/archive/1/483572/100/0/threaded
来源: REDHAT
名称: RHSA-2008:0165
链接:http://www.redhat.com/support/errata/RHSA-2008-0165.HTML
来源: REDHAT
名称: RHSA-2008:0145
链接:http://www.redhat.com/support/errata/RHSA-2008-0145.HTML
来源: SUSE
名称: SUSE-SR:2007:023
链接:http://www.novell.com/linux/security/advisories/2007_23_sr.HTML
来源: MANDRIVA
名称: MDVSA-2008:035
链接:http://www.mandriva.com/en/security/advisories?name=MDVSA-2008:035
来源: www.imagemagick.org
链接:http://www.imagemagick.org/script/changelog.php
来源: VUPEN
名称: ADV-2007-3245
链接:http://www.frsirt.com/english/advisories/2007/3245
来源: DEBIAN
名称: DSA-1858
链接:http://www.debian.org/security/2009/dsa-1858
来源: MLIST
名称: [Magick-announce] 20070917 ImageMagick 6.3.5-9, important security updates
链接:http://studio.imagemagick.org/pipermail/magick-announce/2007-September/000037.HTML
来源: GENTOO
名称: GLSA-200710-27
链接:http://security.gentoo.org/glsa/glsa-200710-27.xml
来源: SECUNIA
名称: 36260
链接:http://secunia.com/advisories/36260
来源: SECUNIA
名称: 35316
链接:http://secunia.com/advisories/35316
来源: SECUNIA
名称: 29857
链接:http://secunia.com/advisories/29857
来源: SECUNIA
名称: 29786
链接:http://secunia.com/advisories/29786
来源: SECUNIA
名称: 28721
链接:http://secunia.com/advisories/28721
来源: SECUNIA
名称: 27439
链接:http://secunia.com/advisories/27439
来源: SECUNIA
名称: 27364
链接:http://secunia.com/advisories/27364
来源: SECUNIA
名称: 27309
链接:http://secunia.com/advisories/27309
来源: SECUNIA
名称: 27048
链接:http://secunia.com/advisories/27048
来源: SECUNIA
名称: 26926
链接:http://secunia.com/advisories/26926
来源: IDEFENSE
名称: 20070919 Multiple Vendor ImageMagick Multiple Integer Overflow Vulnerabilities
链接:http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=594
来源: bugs.gentoo.org
链接:http://bugs.gentoo.org/show_bug.cgi?id=186030
受影响实体
- Imagemagick Imagemagick:6.2.9
- Imagemagick Imagemagick:6.2.9.2
- Imagemagick Imagemagick:6.3.3_6
- Imagemagick Imagemagick:6.3.4
- Imagemagick Imagemagick:6.3.3_5
补丁
暂无
评论