ImageMagick ReadDCMImage远程拒绝服务漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2007-12-05
ImageMagick ReadDCMImage远程拒绝服务漏洞

发布日期:2007-09-21

更新日期:2007-09-24

受影响系统:

ImageMagick ImageMagick < 6.3.5-9

不受影响系统:

ImageMagick ImageMagick 6.3.5-9

ImageMagick ImageMagick 6.3.5-10

描述:

--------------------------------------------------------------------------------

BUGTRAQ ID: 25764

CVE(CAN) ID: CVE-2007-4985

ImageMagick是一款Unix/Linux平台下开源的图像查看和编辑工具。

ImageMagick的实现上存在拒绝服务漏洞,远程安全者可能利用此漏洞导致用户系统不可用。

ImageMagick的ReadDCMImage()函数没有正确地验证ReadBlobByte()的返回值;ReadXCFImage()函数没有正确地验证ReadBlobMSBLong()的返回值。如果用户受骗打开了畸形的图形文件,就可能触发死循环,导致消耗大量的CPU资源。

<*来源:regenrecht

链接:http://studio.imagemagick.org/pipermail/magick-announce/2007-September/000037.html

http://www.imagemagick.org/script/changelog.php

http://secunia.com/advisories/26926/

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=596

http://security.gentoo.org/glsa/glsa-200710-27.xml

*>

建议:

--------------------------------------------------------------------------------

临时解决方法:

* 删除相关的模块文件。

厂商补丁:

Gentoo

------

Gentoo已经为此发布了一个安全公告(GLSA-200710-27)以及相应补丁:

GLSA-200710-27:ImageMagick: Multiple vulnerabilities

链接:http://security.gentoo.org/glsa/glsa-200710-27.xml

所有ImageMagick用户都应升级到最新版本: 

# emerge --sync# emerge --ask --oneshot --verbose ">=media-gfx/imagemagick-6.3.5.10"

ImageMagick

-----------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

ftp://ftp.imagemagick.org/pub/ImageMagick/ImageMagick-6.3.5-10.tar.gz

上一篇:KV网络版技术升级 离线管理全网漏洞
下一篇:看完吓一跳 FireFox和IE漏洞对比(图)

最近更新

随机推荐