セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2427-1 imagemagick

Debian セキュリティ勧告

DSA-2427-1 imagemagick -- 複数の脆弱性

報告日時:

2012-03-06

影響を受けるパッケージ:

imagemagick

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-0247, CVE-2012-0248.

詳細:

画像を扱うプログラム集 ImageMagick に、EXIF 処理に関する二つの欠陥が 発見されました。

• CVE-2012-0247

  ResolutionUnit タグに誤ったオフセットとカウントを指定された EXIF IFD0 形式に対して、ImageMagick は誤ったアドレスに 2 バイトの書き込みを行ってしまいます。

• CVE-2012-0248

  IFD 形式で、全てのタグの値オフセットが IFD 自身の最初を指す よう指定された不正な画像の処理で無限ループとなるため、サー ビス拒否攻撃が可能です。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題 はバージョン 8:6.6.0.4-3+squeeze1 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションで は、これらの問題はバージョン 8:6.6.9.7-6 で修正されています。

直ぐに imagemagick パッケージをアップグレードすることを勧めます。