Actualización de seguridad de la suite ImageMagick

Actualización de seguridad de la suite ImageMagick

Se ha publicado una actualización de la suite de manipulación de imágenes ImageMagick que corrige múltiples vulnerabilidades. 

ImageMagick es un conjunto de herramientas orientada a la creación, edición y manipulación de imágenes desde linea de comandos o mediante una biblioteca de funciones disponible en diversos lenguajes de programación. Actualmente soporta más de 200 formatos de medios, está escrita principalmente en lenguaje C y posee una licencia de código abierto.

Los errores corregidos, según CVE, son:

CVE-2017-10995

Corregido un desbordamiento de memoria intermedia en la función ‘mng_get_long’ del archivo ‘coders/png.c’. Este fallo podría causar una denegación de servicio, y potencialmente ejecutar código arbitrario, cuando se procesa una imagen especialmente manipulada de formato MNG. 

CVE-2017-11533

Corregido un desbordamiento de memoria intermedia en la función ‘WriteUILImage’ del archivo ‘coders/uil.c’. Este fallo podría causar una denegación de servicio, y potencialmente ejecutar código arbitrario, cuando se procesa un archivo especialmente manipulado con la herramienta ‘convert’. 

CVE-2017-11535

Idem al anterior CVE pero corregido en la función ‘WritePSImage’ del archivo ‘coders/ps.c’.

CVE-2017-11639

Idem al anterior CVE pero corregido en la función ‘WriteCIPImage’ del archivo ‘coders/cip.c’.

CVE-2017-13143

Corregido un error de revelación de información al usar memoria no inicializada en la función ‘ReadMATImage’ del archivo ‘coders/mat.c’. Este fallo podría permitir a un atacante obtener información importante de la memoria del proceso. 

CVE-2017-17504

Corregido un desbordamiento de memoria intermedia en la función ‘Magick_png_read_raw_profile’ del archivo ‘coders/png.c’. Este fallo podría causar una denegación de servicio, y potencialmente ejecutar código arbitrario, cuando se procesa un archivo especialmente manipulado; no especifica un formato concreto. 

CVE-2017-17879

Corregido un desbordamiento de memoria intermedia en la función ‘ReadOneMNGImage’ del archivo ‘coders/png.c’. El fallo se encuentra en un error al calcular la longitud de un búfer. 


CVE-2018-5248

Corregido un desbordamiento de memoria intermedia en la función ‘ReadSIXELImage’ del archivo ‘coders/sixel.c’. Este fallo podría causar una denegación de servicio, y potencialmente ejecutar código arbitrario, cuando se procesa una imagen especialmente manipulada de formato SIXEL

La última versión publicada, libre de los fallos comentados, es la 7.0.7-35; todas las anteriores estarían afectadas por los mismos. La actualización está disponible en todos los sistemas operativos soportados.


David García

Más información:

ImageMagick






http://feeds.feedburner.com/hispasec/zCAd

Deja un comentario

Tu dirección de correo electrónico no será publicada.