Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2427-1 imagemagick

Bulletin d'alerte Debian

DSA-2427-1 imagemagick -- Plusieurs vulnérabilités

Date du rapport :

6 mars 2012

Paquets concernés :

imagemagick

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-0247, CVE-2012-0248.

Plus de précisions :

Deux vulnérabilités de sécurité relatives au traitement EXIF ont été découvertes dans ImageMagick, un ensemble de programmes pour manipuler des images.

• CVE-2012-0247

  Lors de l'analyse d'une image contrefaite de façon malveillante avec position et compte incorrects dans l'étiquette ResolutionUnit d'IFD0 EXIF, ImageMagick écrit deux octets à une adresse non valable.

• CVE-2012-0248

  Le traitement d'une image contrefaite de façon malveillante avec un IFD dont toutes les valeurs de position d'étiquettes pointent au début de l'IFD lui-même provoque une boucle sans fin et un déni de service.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 8:6.6.0.4-3+squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 8:6.6.9.7-6.

Nous vous recommandons de mettre à jour vos paquets imagemagick.