1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200602-13 / graphicsmagick |
| Date de Parution | 26 Février 2006 |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| media-gfx/graphicsmagick | < 1.1.7 | >= 1.1.7 | Toutes |
3. Synopsis
Une vulnérabilité dans GraphicsMagick permet à un attaquant de crasher l'application et d'exécuter une portion de code arbitraire sur le système de sa victime.
4. Informations
GraphicsMagick est une collection d'outils permettant de lire, d'ecrire et de manipuler des images de formats divers.
5. Description
La fonction SetImageInfo de GraphicsMagick est vulnérable à une faille due à une mauvaise utilisation de certaines format strings. Daniel Kobras a découvert que le filtrage des caractères spéciaux contenus dans les noms de fichiers passés a cette fonction est inadéquat. Cette vulnérabilité est de meme nature que la vulnerabilite 200602-06 qui affectait ImageMagick.
6. Impact de la faille
En fournissant à GraphicsMagick certains noms de fichiers spécialement forgés, il est possible pour un utilisateur mal intentionné d'exécuter une portion de code arbitraire avec les permissions de l'utilisateur se servant de ce programme.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Les utilisateurs du package GraphicsMagick doivent mettre à jour ce dernier :
# emerge --sync # emerge --ask --oneshot --verbose ">=media-gfx/graphicsmagick-1.1.7"
9. Références