分享程序员开发的那些事...
更新时间:2022-09-17 15:32:06
图片处理软件 imageMagick比较容易出现漏洞 。近日,据Security Focus称,imagemagick 再次出现远程拒绝服务漏洞,攻击者可以利用此问题来实施DoS攻击,涉及版本imagemagick 7.0. 5-6 ;其他版本也可能受到影响。由此波及多个linux版本,Ubuntu Linux、Redhat Enterprise Linux、Trustix Secure Linux、Debian Linux等,详见如下列表信息。
| Bugtraq ID: | 98687 |
| Class: | Failure to Handle Exceptional Conditions |
| CVE: | CVE-2017-8830 |
| Remote: | Yes |
| Local: | No |
| Published: | May 08 2017 12:00AM |
| Updated: | May 30 2017 05:01PM |
| Credit: | The vendor reported this issue. |
| Vulnerable: | Ubuntu Ubuntu Linux 17.04 Ubuntu Ubuntu Linux 16.10 Ubuntu Ubuntu Linux 16.04 LTS Ubuntu Ubuntu Linux 14.04 LTS Redhat OpenShift Enterprise 2 Redhat Enterprise Linux 7 Redhat Enterprise Linux 6 + Trustix Secure Enterprise Linux 2.0 + Trustix Secure Linux 2.2 + Trustix Secure Linux 2.1 + Trustix Secure Linux 2.0 Redhat Enterprise Linux 5 ImageMagick ImageMagick 7.0.5-6 Debian Linux 6.0 sparc Debian Linux 6.0 s/390 Debian Linux 6.0 powerpc Debian Linux 6.0 mips Debian Linux 6.0 ia-64 Debian Linux 6.0 ia-32 Debian Linux 6.0 arm Debian Linux 6.0 amd64 |
问题是出在bmp.c:1379 中的ReadBMPImage 函数,攻击者可能利用这个功能进行DoS攻击,引发内存泄漏。详细技术分析见如下链接
https://github.com/ImageMagick/ImageMagick/issues/467
ImageMagick 是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。ImageMagick软件是用C语言编写的,可用来显示、转换以及编辑图形,支持超过200种图像文件格式,并且可以跨平台运行。
ImageMagick软件被许多编程语言所支持,包括Perl,C++,PHP,Python和Ruby等,并被部署在数以百万计的网站,博客,社交媒体平台和流行的内容管理系统(CMS)。
原文发布时间:2017年5月31日
本文由:SecurityFocus发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/imagemagick-dos-cve-2017-8830
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站