Bulletin d'alerte Debian

DSA-2427-1 imagemagick -- Plusieurs vulnérabilités

Date du rapport :
6 mars 2012
Paquets concernés :
imagemagick
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-0247, CVE-2012-0248.
Plus de précisions :

Deux vulnérabilités de sécurité relatives au traitement EXIF ont été découvertes dans ImageMagick, un ensemble de programmes pour manipuler des images.

  • CVE-2012-0247

    Lors de l'analyse d'une image contrefaite de façon malveillante avec position et compte incorrects dans l'étiquette ResolutionUnit d'IFD0 EXIF, ImageMagick écrit deux octets à une adresse non valable.

  • CVE-2012-0248

    Le traitement d'une image contrefaite de façon malveillante avec un IFD dont toutes les valeurs de position d'étiquettes pointent au début de l'IFD lui-même provoque une boucle sans fin et un déni de service.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 8:6.6.0.4-3+squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 8:6.6.9.7-6.

Nous vous recommandons de mettre à jour vos paquets imagemagick.