1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200602-06 / imagemagick |
| Date de Parution | 13 Février 2006 |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| media-gfx/imagemagick | < 6.2.5.5 | >= 6.2.5.5 | Toutes |
3. Synopsis
Une vulnérabilité dans ImageMagick permet à un attaquant de crasher l'application et d'exécuter une portion de code arbitraire sur le système de sa victime
4. Informations
ImageMagick est une suite d'applications permettant de manipuler et de convertir des images. ImageMagick est souvent utilisé dans des applications Web telles que certains forums, CMS, ou galeries d'images.
5. Description
La fonction SetImageInfo de ImageMagick est vulnérable à une faille due à une mauvaise utilisation de certaines format strings. Daniel Kobras a découvert que le filtrage des caractères spéciaux contenus dans les noms de fichiers passés a cette fonction est inadéquat. Cette vulnérabilité est nouvelle et n'est pas liée à la faille de référence GLSA 200503-11.
6. Impact de la faille
En fournissant à ImageMagick certains noms de fichiers spécialement forgés, il est possible pour un utilisateur mal intentionné de crasher ImageMagick, voire d'exécuter une portion de code arbitraire avec les permissions de l'utilisateur se servant de ce programme.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Les utilisateurs du package ImageMagick doivent installer sa dernière version :
# emerge --sync # emerge --ask --oneshot --verbose ">=media-gfx/imagemagick-6.2.5.5"
9. Références