Debian セキュリティ勧告

DSA-2427-1 imagemagick -- 複数の脆弱性

報告日時:
2012-03-06
影響を受けるパッケージ:
imagemagick
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2012-0247, CVE-2012-0248.
詳細:

画像を扱うプログラム集 ImageMagick に、EXIF 処理に関する二つの欠陥が 発見されました。

  • CVE-2012-0247

    ResolutionUnit タグに誤ったオフセットとカウントを指定された EXIF IFD0 形式に対して、ImageMagick は誤ったアドレスに 2 バイトの書き込みを行ってしまいます。

  • CVE-2012-0248

    IFD 形式で、全てのタグの値オフセットが IFD 自身の最初を指す よう指定された不正な画像の処理で無限ループとなるため、サー ビス拒否攻撃が可能です。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題 はバージョン 8:6.6.0.4-3+squeeze1 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションで は、これらの問題はバージョン 8:6.6.9.7-6 で修正されています。

直ぐに imagemagick パッケージをアップグレードすることを勧めます。