lunes, 18 de septiembre de 2017

Vulnerabilidad de denegación de servicio en ImageMagick

Se ha reportado una vulnerabilidad en Imagemagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes. La vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante provocar condiciones de denegación de servicio.


Como hemos explicado en anteriores boletines, ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.

En el problema reportado, con CVE-2017-14505, debido a un error en la función 'DrawGetStrokeDashArray' en 'wand/drawing-wand.c' al manejar determinados arrays nulos podría causar una desreferencia a puntero nulo en la función 'AcquireQuantumMemory' en  'MagickCore/memory.c'.

Un atacante remoto podría valerse de este error para provocar denegaciones de servicios a través de archivos de imágenes especialmente manipulados.


Este problema afecta a las versiones anteriores a la 7.0.7-1. Se recomienda actualizar a versiones superiores. https://www.imagemagick.org/download/beta/

Juan Sánchez

Más información:

Null Pointer Dereference triggered by malformed Image File

Imagemagick