ImageMagick sérülékenysége
Angol cím: ImageMagick vulnerability
Publikálás dátuma: 2023.03.23.
Utolsó módosítás dátuma: 2023.03.24.
Leírás
Bemenet ellenőrzés: A termék nem vagy nem megfelelően validálja a bemeneti adatot, ami befolyásolhatja a program adat vagy vezérlési folyamát.
Leírás forrása: CWE-20Elemzés leírás
Eredeti nyelven: A vulnerability was discovered in ImageMagick where a specially created SVG file loads itself and causes a segmentation fault. This flaw allows a remote attacker to pass a specially crafted SVG file that leads to a segmentation fault, generating many trash files in “/tmp,” resulting in a denial of service. When ImageMagick crashes, it generates a lot of trash files. These trash files can be large if the SVG file contains many render actions. In a denial of service attack, if a remote attacker uploads an SVG file of size t, ImageMagick generates files of size 103*t. If an attacker uploads a 100M SVG, the server will generate about 10G.
Elemzés leírás forrása: CVE-2023-1289Hatás
Sérülékeny szoftverek
ImageMagick 7.1.1-0 előtti verziók