Cabecera-v2-web.jpg

Vulnerabilidades de denegación de servicio en ImageMagick


Se han reportado tres vulnerabilidades en Imagemagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes. Las vulnerabilidades son consideradas de gravedad alta y podrí­an permitir a un atacante provocar condiciones de denegación de servicio.

Imagemagick.png

ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de lí­nea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.

En todos los problemas reportados, debido a múltiples errores en la función 'MagickCore/draw.c', un atacante remoto podrí­a provocar denegaciones de servicio a través de archivos de imágenes especialmente manipulados.

En el primer problema, con CVE-2016-4562, el error se debe al no calcular correctamente determinados datos de tipo entero, lo que causa un desbordamiento de memoria. El siguiente problema, con CVE-2016-4563, consiste en un al relacionar incorrectamente el valor 'BezierQuantum' con otros tipos determinados de datos, también provoca un desbordamiento de memoria.

Por último, con CVE-2016-4564, un error al no localizar correctamente el siguiente token en determinadas llamadas de la función, lo cual igualmente provoca un desbordamiento de memoria.


Este problema afecta a las versiones anteriores a 6.9.4-0 y anteriores 7x-7.0.1-2. Se recomienda actualizar a versiones superiores.



Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11