miércoles, 8 de junio de 2016

Vulnerabilidades de denegación de servicio en ImageMagick

Se han reportado tres vulnerabilidades en Imagemagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes. Las vulnerabilidades son consideradas de gravedad alta y podrían permitir a un atacante provocar condiciones de denegación de servicio.

ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.

En todos los problemas reportados, debido a múltiples errores en la función 'MagickCore/draw.c', un atacante remoto podría provocar denegaciones de servicio a través de archivos de imágenes especialmente manipulados.

En el primer problema, con CVE-2016-4562, el error se debe al no calcular correctamente determinados datos de tipo entero, lo que causa un desbordamiento de memoria. El siguiente problema, con CVE-2016-4563, consiste en un al relacionar incorrectamente el valor 'BezierQuantum' con otros tipos determinados de datos, también provoca un desbordamiento de memoria.

Por último, con CVE-2016-4564, un error al no localizar correctamente el siguiente token en determinadas llamadas de la función, lo cual igualmente provoca un desbordamiento de memoria.

Este problema afecta a las versiones anteriores a 6.9.4-0 y anteriores 7x-7.0.1-2. Se recomienda actualizar a versiones superiores.

Más información:

Imagemagick changelog

ImageTragick



Juan Sánchez

No hay comentarios:

Publicar un comentario en la entrada