Összefoglaló
Az ImageMagick két közepes kockázati besorolású sérülékenysége vált ismertté, melyeket kihasználva a támadó érzékeny adatokat szerezhet meg, illetve szolgáltatásmegtagadást érhet el. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
Az egyik biztonsági rés a MagickCore/enhance.c állományban lévő ContrastStretchImage() függvényt érinti.
A másik sebezhetőség pedig a MagickCore/property.c fájlhoz tartozó Get8BIMProperty() függvény által válhat kihasználhatóvá.
Mindkét biztonsági hiba memóriakezelési rendellenességekre vezethető vissza, amelyek esetenként puffer túlcsordulást is előidézhetnek.
Megoldás
Frissítsen a legújabb verzióraMegoldás
A kiadott patch-ek alkalmazása.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: github.com
Egyéb referencia: github.com
CVE-2016-6491 - NVD CVE-2016-6491
CVE-2016-6520 - NVD CVE-2016-6520