Vulnerabilidad de denegación de servicio en ImageMagick
Se ha reportado una vulnerabilidad en ImageMagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes. La vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante provocar condiciones de denegación de servicio.
Como ya hemos comentado anteriormente, ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.
En el problema reportado, con CVE- 2017-15281, debido a un error al ejecutar ‘./magick convert %file% /dev/null’ en determinados archivos podría causar un salto en memoria debido a valores no inicializados. Esto podría ser aprovechado por un atacante remoto para provocar una denegación de servicio (cierre de la aplicación) a través de archivos especialmente manipulados.
Este problema afecta a las versiones anteriores a la 7.0.7-6
Se recomienda actualizar a versiones superiores.
https://www.imagemagick.org/download/beta/
Ver información original al respecto en Fuente:
saludos
ms, 16-10-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.