Se ha anunciado una vulnerabilidad en Imagemagick, una
herramienta empleada por millones de sitios web para el tratamiento de
imágenes, que podría permitir a un atacante provocar condiciones de denegación
de servicio.
ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.
Recursos afectados
- La vulnerabilidad se ha confirmado en la versión ImageMagick 7.0.2-1, aunque versiones anteriores también pueden verse afectadas.
- El problema (con CVE-2016-6491) reside en un error en la función "Get8BIMProperty()" (MagickCore/property.c), que podría permitir una lectura de memoria fuera de límites. Un atacante podría provocar una denegación de servicio mediante el tratamiento de una imagen específicamente manipulada.
- Se ha publicado una actualización en el repositorio en forma de código fuente https://github.com/ImageMagick/ImageMagick/commit/dd84447b63a71fa8c3f47071b09454efc667767b
- CVE-Request Buffer overflow ImageMagick http://seclists.org/oss-sec/2016/q3/194
- Prevent buffer overflow (bug report from Ibrahim el-sayed) https://github.com/ImageMagick/ImageMagick/commit/dd84447b63a71fa8c3f47071b09454efc667767b