Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - ImageMagick : exécution de commande depuis CWD

novembre 2010 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut placer un fichier de configuration illicite dans
le répertoire courant de l’utilisateur de ImageMagick, afin de
faire exécuter une commande avec ses privilèges.

Gravité : 1/4

Date création : 15/11/2010

DESCRIPTION DE LA VULNÉRABILITÉ

La suite ImageMagick comporte des utilitaires de manipulation
d’images.

Ces utilitaires lisent des fichiers de configuration (coder.xml et
delegates.xml) situés dans les répertoires /.magick/ et
/usr/lib/ImageMagick-*/config/. Le fichier delegates.xml peut
contenir des commandes shell à exécuter pour traiter des images.

Cependant, ces utilitaires lisent aussi les fichiers de
configuration situé dans le répertoire courant.

Un attaquant peut donc placer un fichier de configuration illicite
dans le répertoire courant de l’utilisateur de ImageMagick, afin
de faire exécuter une commande avec ses privilèges.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/ImageMagick-execution-de-commande-depuis-CWD-10123


Voir les articles précédents

    

Voir les articles suivants