CERT-FI haavoittuvuustiedote 005/2005

18.1.2005

Haavoittuvuus ImageMagick-ohjelmistoissa

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

ImageMagick on kokoelma työkaluja ja kirjastoja lukuisten eri kuvaformaattien käsittelyyn. Monet Unix ja Linux -jakelupaketit sisältävät ImageMagick-kokoelman ohjelmistot. Ne ovat usein myös oletusarvoisesti asennettu järjestelmiin, joissa on käytössä graafinen työpöytäympäristö.

ImageMagick-ohjelmistosta on löydetty PSD (Photoshop Document) -tiedostojen käsittelyyn liittyvä puskuriylivuotohaavoittuvuus. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdejärjestelmässä omia komentojaan. Haavoittuvuuden hyväksikäyttö voi olla mahdollista esimerkiksi sähköpostin tai www-sivun välityksellä.

HAAVOITTUVAT OHJELMISTOT:

• ImageMagick 6.1.7 ja ImageMagick 6.1.0. Todennäköisesti myös aikaisemmat versiot.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto versioon 6.1.8-8, mikä on ladattavissa osoitteesta:

http://www.imagemagick.org/www/download.html

LISÄTIETOA:

http://www.imagemagick.org

http://www.idefense.com/application/poi/display?id=184&type=vulnerabilities

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0005

PÄIVITYSHISTORIA:

18.01.2005: Julkaistu

Sivua päivitetty 26.07.2007

Tulostusversio