发布日期:2007-09-21
更新日期:2007-09-24
受影响系统:
ImageMagick ImageMagick < 6.3.5-9
不受影响系统:
ImageMagick ImageMagick 6.3.5-9
ImageMagick ImageMagick 6.3.5-10
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 25763
CVE(CAN) ID: CVE-2007-4986
ImageMagick是一款Unix/Linux平台下开源的图像查看和编辑工具。
ImageMagick处理各种图形文件格式时存在多个整数溢出漏洞,远程攻击者可能利用此漏洞通过诱使用户打开恶意文件控制系统。
如果用户受骗打开了特制的DCM、DIB、XBM、XCF或XWD图形文件的话,就可能导致分配不充分的堆缓冲区,最终触发堆溢出。
<*来源:regenrecht
链接:http://studio.imagemagick.org/pipermail/magick-announce/2007-September/000037.html
http://www.imagemagick.org/script/changelog.php
http://secunia.com/advisories/26926/
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=594
http://security.gentoo.org/glsa/glsa-200710-27.xml
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
* 删除相关的模块文件。
厂商补丁:
Gentoo
------
Gentoo已经为此发布了一个安全公告(GLSA-200710-27)以及相应补丁:
GLSA-200710-27:ImageMagick: Multiple vulnerabilities
链接:http://security.gentoo.org/glsa/glsa-200710-27.xml
所有ImageMagick用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose ">=media-gfx/imagemagick-6.3.5.10" |
ImageMagick
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
ftp://ftp.imagemagick.org/pub/ImageMagick/ImageMagick-6.3.5-10.tar.gz
安全中国首页 > 新闻中心 > 溢出漏洞