Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
  accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
L'équipe Vigil@nce veille les vulnérabilités qui affectent votre parc informatique, puis propose les correctifs, une base et les outils pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

annonce de vulnérabilité CVE-2012-0259 CVE-2012-0260 CVE-2012-1610

ImageMagick : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à ouvrir une image illicite avec ImageMagick, afin de stopper l'application ou éventuellement d'exécuter du code.
Produits concernés : Debian, Fedora, MES, Mandriva Linux, Solaris, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme).
Gravité : 2/4.
Date création : 05/04/2012.
Références : 807993, 807994, 807997, BID-52898, CERTA-2013-AVI-543, CERTFR-2014-AVI-112, CERTFR-2014-AVI-244, CVE-2012-0259, CVE-2012-0260, CVE-2012-1610, CVE-2012-1798, DSA-2462-1, DSA-2462-2, FEDORA-2012-9313, MDVSA-2012:077, MDVSA-2012:078, RHSA-2012:0544-01, RHSA-2012:0545-01, SUSE-SU-2012:0763-1, SUSE-SU-2012:0764-1, USN-2132-1, VIGILANCE-VUL-11522.

Description de la vulnérabilité

L'application ImageMagick permet de manipuler des images. Elle est impactée par quatre vulnérabilités.

Lorsqu'une image JPEG contient un champ EXIF XResolution spécial, une chaîne n'est pas terminée par '\0', ce qui conduit à une lecture à une adresse mémoire invalide. [grav:1/4; 807993, CVE-2012-0259]

Lorsqu'une image JPEG contient de nombreuses séquences de redémarrage (restart RST0 à RST7), la fonction JPEGWarningHandler() est appelée trop souvent, et consomme des ressources inutilement. [grav:1/4; 807994, CVE-2012-0260]

Lorsqu'une image TIFF contient un champ EXIF IFD spécial, une copie de mémoire trop longue est effectuée. [grav:2/4; 807997, CVE-2012-1798]

Lorsqu'une image JPEG contient un champ EXIF XResolution, un débordement d'entier peut se produire. [grav:2/4; CVE-2012-1610]

Un attaquant peut donc inviter la victime à ouvrir une image illicite avec ImageMagick, afin de stopper l'application ou éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (accès gratuit)

Partagez ce bulletin

Delicious Digg Facebook Google bookmarks LinkedIn Mail Reddit StumbleUpon Technorati Twitter 

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une annonce de vulnérabilité de système. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.



















Copyright 1999-2014 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version