Cabecera-v2-web.jpg

Desbordamiento de búfer en ImageMagick


Se ha anunciado una vulnerabilidad en Imagemagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes, que podrí­a permitir a un atacante provocar condiciones de denegación de servicio.

ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de lí­nea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.

El problema (con CVE-2016-6491) reside en un error en la función "Get8BIMProperty()" (MagickCore/property.c), que podrí­a permitir una lectura de memoria fuera de lí­mites. Un atacante podrí­a provocar una denegación de servicio mediante el tratamiento de una imagen especí­ficamente manipulada.

Imagemagick.png

La vulnerabilidad se ha confirmado en la versión ImageMagick 7.0.2-1, aunque versiones anteriores también pueden verse afectadas. Se ha publicado una actualización en el repositorio en forma de código fuente: https://github.com/ImageMagick/ImageMagick/commit/...


Fuente: hispasec.com



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11