CH azonosító
CH-13274Angol cím
GraphicsMagick és ImageMagick vulnerabilityFelfedezés dátuma
2016.05.28.Súlyosság
MagasÉrintett rendszerek
GraphicsMagickGraphicsMagick Group
ImageMagick
Érintett verziók
Összes GraphicsMagick és ImageMagick verzió.
Összefoglaló
GraphicsMagick és ImageMagick magas besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó tetszőleges kódot futtathat a célrendszeren. A sérülékenységet kiküszöbölő megoldás nem érhető el a gyártótól.
Leírás
A sérülékenység akkor használható ki, ha a fájl specifikáció első karaktere egy “|” (pipe) jel.
Mikor ez teljesül, pipe után következő karakterek POSIX popen(3C) függvény segítségével átadásra kerülnek a shellnek, így tetszőleges kód futtaható a rendszeren.
Megoldás
Telepítse a javítócsomagokatMegoldás
A sérülékenység kihasználásának megakadályozására tiltsa le a popen támogatást melyet a d8862778c1b334cefafb92cc88e158b2cdf82a76 github commit alkalmazásával tehet meg.
Támadás típusa
execute arbitrary codeHatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: permalink.gmane.org
Egyéb referencia: github.com
Egyéb referencia: www.debian.org
CVE-2016-5118 - NVD CVE-2016-5118