Vigil@nce : GraphicsMagick, multiples vulnérabilités
juin 2008 par Vigil@nce
Un attaquant peut créer des images illicites afin de mener un déni
de service dans GraphicsMagick et éventuellement de faire exécuter
du code avec les droits de la victime.
– Gravité : 2/4
– Conséquences : accès/droits utilisateur, déni de service du client
– Provenance : document
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 06/06/2008
– Référence : VIGILANCE-VUL-7876
PRODUITS CONCERNÉS
Unix - plateforme
DESCRIPTION
La suite GraphicsMagick permet de manipuler des images. Elles
comporte plusieurs vulnérabilités.
Une image Cineon illicite peut corrompre la mémoire. [grav:2/4]
Une image Palm illicite peut créer un débordement dans
ReadPALMImage() de coders/palm.c. [grav:2/4]
Une image PICT illicite peut créer un débordement dans
DecodeImage() de coders/pict.c. [grav:2/4]
Une image DPX illicite peut provoquer une opération incorrecte.
[grav:2/4]
Une image XCF illicite peut corrompre la mémoire. [grav:2/4]
Un attaquant peut donc créer des images illicites afin de mener un
déni de service dans GraphicsMagick et éventuellement de faire
exécuter du code avec les droits de la victime.
CARACTÉRISTIQUES
– Références : VIGILANCE-VUL-7876
– Url : https://vigilance.aql.fr/arbre/1/7876