Debian corrige deux vulnérabilités pour ImageMagick
Date de publication :
Les équipes de Debian ont publié une mise à jour du logiciel libre de manipulation d'image ImageMagick afin de corriger deux vulnérabilités.
L’impact estimé sur la confidentialité, l’intégrité et la disponibilité est modéré.
Les problèmes de gestion de la mémoire et l'absence ou l'assainissement incomplet des entrées peuvent entraîner un déni de service, une divulgation de la mémoire ou l'exécution d'un code arbitraire si des fichiers TIFF ou Postscript malformés sont traités par ImageMagick.
Détails techniques :
CVE-2019-9956 [CVSS V3 8.8] : La version 7.0.8-35 Q16 de ImageMagick est sujette à un dépassement de pile (stack-based buffer overflow) dans la fonction PopHexPixel (dans le fichier coders/ps.c), qui permet à un attaquant de provoquer un déni de service ou une exécution de code via un fichier image mal formaté.
CVE-2019-10650 [CVSS V3 8.1] : La version 7.0.8-36 Q16 de ImageMagick est sujette à un dépassement de mémoire sur le tas (heap-based buffer over-read) dans la fonction WriteTIFFImage (du fichier coders/tiff.c). Cela permet à un attaquant de provoquer un déni de service ou une divulgation d'informations via un fichier image conçu à cet effet.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Atteinte à la confidentialité des données ;
- Déni de service ;
- Exécution de code arbitraire.
Criticité
- Score CVSS : 8.8
Existence d’un code d’exploitation de la vulnérabilité
- Il n'existe, à ce jour, aucun code permettant d'exploiter les vulnérabilités.
Composants & versions vulnérables
- ImageMagick 7.0.8-36 Q16.
CVE
- CVE-2019-9956
- CVE-2019-10650
Solutions ou recommandations
Mise en place de correctif de sécurité
- Il est recommandé de mettre à jour les paquets ImageMagick.
Solution de contournement
- Aucune solution de contournement, autre que la mise à jour, n'est actuellement proposée.