找回密码
 开放注册

QQ登录

只需一步,快速开始

微信登录

微信扫码,快速开始

搜索
NB5牛论坛»首页 技术交流区 网安技术 ImageMagick ReadDCMImage远程拒绝服务漏洞
返回列表 发新帖
查看: 1984|回复: 0

ImageMagick ReadDCMImage远程拒绝服务漏洞

[复制链接]
烽火ㄨ飞狐

286

主题

75

回帖

491

牛毛

一级牛人

車菿山偂^︶ㄣ咇侑潞﹏﹖.

积分
491
发表于 2007-12-5 16:16:38 | 显示全部楼层 |阅读模式 来自 内蒙古兴安盟乌兰浩特市
受影响系统:

ImageMagick ImageMagick < 6.3.5-9

不受影响系统:

ImageMagick ImageMagick 6.3.5-9

ImageMagick ImageMagick 6.3.5-10

描述:

--------------------------------------------------------------------------------

BUGTRAQ ID: 25***64

CVE(CAN) ID: CVE-2007-4985

ImageMagick是一款Unix/Linux平台下开源的图像查看和编辑工具。

ImageMagick的实现上存在拒绝服务漏洞,远程攻击者可能利用此漏洞导致用户系统不可用。

ImageMagick的ReadDCMImage()函数没有正确地验证ReadBlobByte()的返回值;ReadXCFImage()函数没有正确地验证ReadBlobMSBLong()的返回值。如果用户受骗打开了畸形的图形文件,就可能触发死循环,导致消耗大量的CPU资源。

<*来源:regenrecht

链接:http://studio.imagemagick.org/pi ... ptember/000037.html

http://www.imagemagick.org/script/changelog.php

http://secunia.com/advisories/26926/

http://labs.idefense.com/intelli ... /display.php?id=596

http://security.gentoo.org/glsa/glsa-200710-27.xml

*>

建议:

--------------------------------------------------------------------------------

临时解决方法:

* 删除相关的模块文件。

厂商补丁:

Gentoo

------

Gentoo已经为此发布了一个安全公告(GLSA-20***10-27)以及相应补丁:

GLSA-20***10-27:ImageMagick: Multiple vulnerabilities

链接:http://security.gentoo.org/glsa/glsa-200710-27.xml

所有ImageMagick用户都应升级到最新版本:

# emerge --sync

# emerge --ask --oneshot --verbose \">=media-gfx/imagemagick-6.3.5.10\"



ImageMagick

-----------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

ftp://ftp.imagemagick.org/pub/Im ... ick-6.3.5-10.tar.gz
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 开放注册

本版积分规则

帮助|Archiver|小黑屋|通信管理局专项备案号:[2008]238号|NB5用户社区 ( 皖ICP备08004151号;皖公网安备34010402700514号 )

GMT+8, 2025-1-10 06:35 , Processed in 0.119403 second(s), 25 queries , Yac On.

Powered by Discuz! X3.5

快速回复 返回顶部 返回列表