Säkerhetsbulletin från Debian

DSA-1858-1 imagemagick -- flera sårbarheter

Rapporterat den:

2009-08-10

Berörda paket:

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 418057, Fel 412945, Fel 444267, Fel 530838.
I Mitres CVE-förteckning: CVE-2007-1667, CVE-2007-1797, CVE-2007-4985, CVE-2007-4986, CVE-2007-4987, CVE-2007-4988, CVE-2008-1096, CVE-2008-1097, CVE-2009-1882.

Ytterligare information:

Flera sårbarheter har upptäckts i bildbehandlingsprogrammet imagemagick vilka kan leda till exekvering av godtycklig kod, exponering av känslig information eller orsaka överbelastning. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

CVE-2007-1667
Flera heltalsspill i XInitImage-funktionen i xwd.c för ImageMagick tillåter användarassisterade angripare utifrån att orsaka en överbelastning (krasch) eller erhålla känslig information via specialskrivna bilder med stora eller negativa värden som orsakar ett buffertspill. Det påverkar vara den gamla stabila utgåvan (Etch).
CVE-2007-1797
Flera heltalsspill tillåter angripare utifrån att exekvera godtycklig kod med hjälp av en specialskriven DCM-bild eller färgerna eller kommentarfältet i en specialskriven XWD-bild. Det påverkar bara den gamla stabila utgåvan (Etch).
CVE-2007-4985
En specialskriven bildfil kan starta en oändlig slinga i funktionen ReadDCMImage eller i funktionen ReadXCFImage. Det påverkar bara den gamla stabila utgåvan (Etch).
CVE-2007-4986
Flera heltalsspill tillåter miljöberoende angripare att exekvera godtycklig kod med hjälp av en specialskriven .dcm-, .dib-, .xbm-, .xcf-, eller .xwd-bildfil, som startar ett heapbaserat buffertspill. Det påverkar vara den gamla stabila utgåvan (Etch).
CVE-2007-4987
Ett stegfel tillåter miljöberoende angripare att exekvera godtycklig kod med hjälp av en specialskriven bildfil, som gör att ett '\0'-tecken skrivs till en adress utanför gränsen. Det påverkar bara den gamla stabila utgåvan (Etch).
CVE-2007-4988
Ett teckenutökningsfel tillåter miljöberoende angripare att exekvera godtycklig kod med hjälp av ett specialskrivet breddvärde i en bildfil, vilket startar ett heltalsspill och ett heapbaserat buffertspill. Det påverkar bara den gamla stabila utgåvan (Etch).
CVE-2008-1096
Funktionen load_tile i XCF-kodaren tillåter användarassisterade angripare utifrån att orsaka en överbelastning eller möjligen exekvera godtycklig kod med hjälp av en specialskriven .xcf-fil som skapar en skrivning till hepaen utanför gränsen. Det påverkar bara den gamla stabila utgåvan (Etch).
CVE-2008-1097
Ett heapbaserat buffertspill i PCX-kodaren tillåter användarassisterade angripare utifrån att orsaka en överbelastning eller eller möjligen exekvera godtycklig kod med hjälp av en specialskriven .pcx-fil som skapar en felaktig minnesallokering för scanline-vektorn, vilket leder till minneskorruption. Det påverkar bara den gamla stabila utgåvan (Etch).
CVE-2009-1882
Heltalsspill tillåter angripare utifrån att orsaka en överbelastning (krasch) och möjligen exekvera godtycklig kod med hjälp av en specialskriven TIFF-fil, som startar ett buffertspill.

För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 7:6.2.4.5.dfsg1-0.15+etch1.

För den stabila utgåvan (Lenny) har dessa problem rättats i version 7:6.3.7.9.dfsg2-1~lenny3.

För den kommande stabila utgåvan (Squeeze) och den instabila utgåvan (Sid) har dessa problem rättats i version 7:6.5.1.0-1.1.

Vi rekommenderar att ni uppgraderar era imagemagick-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:: http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.2.4.5.dfsg1-0.15+etch1.tar.gz; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.2.4.5.dfsg1-0.15+etch1.dsc
Alpha:: http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9c2a_6.2.4.5.dfsg1-0.15+etch1_alpha.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.2.4.5.dfsg1-0.15+etch1_alpha.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.2.4.5.dfsg1-0.15+etch1_alpha.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.2.4.5.dfsg1-0.15+etch1_alpha.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.2.4.5.dfsg1-0.15+etch1_alpha.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9_6.2.4.5.dfsg1-0.15+etch1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.2.4.5.dfsg1-0.15+etch1_amd64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.2.4.5.dfsg1-0.15+etch1_amd64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9c2a_6.2.4.5.dfsg1-0.15+etch1_amd64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.2.4.5.dfsg1-0.15+etch1_amd64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9_6.2.4.5.dfsg1-0.15+etch1_amd64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.2.4.5.dfsg1-0.15+etch1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.2.4.5.dfsg1-0.15+etch1_arm.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.2.4.5.dfsg1-0.15+etch1_arm.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.2.4.5.dfsg1-0.15+etch1_arm.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9_6.2.4.5.dfsg1-0.15+etch1_arm.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.2.4.5.dfsg1-0.15+etch1_arm.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9c2a_6.2.4.5.dfsg1-0.15+etch1_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.2.4.5.dfsg1-0.15+etch1_hppa.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.2.4.5.dfsg1-0.15+etch1_hppa.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.2.4.5.dfsg1-0.15+etch1_hppa.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9_6.2.4.5.dfsg1-0.15+etch1_hppa.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9c2a_6.2.4.5.dfsg1-0.15+etch1_hppa.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.2.4.5.dfsg1-0.15+etch1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.2.4.5.dfsg1-0.15+etch1_i386.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.2.4.5.dfsg1-0.15+etch1_i386.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9c2a_6.2.4.5.dfsg1-0.15+etch1_i386.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.2.4.5.dfsg1-0.15+etch1_i386.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.2.4.5.dfsg1-0.15+etch1_i386.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9_6.2.4.5.dfsg1-0.15+etch1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.2.4.5.dfsg1-0.15+etch1_ia64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9_6.2.4.5.dfsg1-0.15+etch1_ia64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.2.4.5.dfsg1-0.15+etch1_ia64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.2.4.5.dfsg1-0.15+etch1_ia64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9c2a_6.2.4.5.dfsg1-0.15+etch1_ia64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.2.4.5.dfsg1-0.15+etch1_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.2.4.5.dfsg1-0.15+etch1_mips.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.2.4.5.dfsg1-0.15+etch1_mips.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.2.4.5.dfsg1-0.15+etch1_mips.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9c2a_6.2.4.5.dfsg1-0.15+etch1_mips.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.2.4.5.dfsg1-0.15+etch1_mips.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9_6.2.4.5.dfsg1-0.15+etch1_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.2.4.5.dfsg1-0.15+etch1_mipsel.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.2.4.5.dfsg1-0.15+etch1_mipsel.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.2.4.5.dfsg1-0.15+etch1_mipsel.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9_6.2.4.5.dfsg1-0.15+etch1_mipsel.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.2.4.5.dfsg1-0.15+etch1_mipsel.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9c2a_6.2.4.5.dfsg1-0.15+etch1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.2.4.5.dfsg1-0.15+etch1_powerpc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.2.4.5.dfsg1-0.15+etch1_powerpc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.2.4.5.dfsg1-0.15+etch1_powerpc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9c2a_6.2.4.5.dfsg1-0.15+etch1_powerpc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9_6.2.4.5.dfsg1-0.15+etch1_powerpc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.2.4.5.dfsg1-0.15+etch1_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.2.4.5.dfsg1-0.15+etch1_sparc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9c2a_6.2.4.5.dfsg1-0.15+etch1_sparc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9_6.2.4.5.dfsg1-0.15+etch1_sparc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.2.4.5.dfsg1-0.15+etch1_sparc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.2.4.5.dfsg1-0.15+etch1_sparc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.2.4.5.dfsg1-0.15+etch1_sparc.deb

Debian GNU/Linux 5.0 (lenny)

Källkod:: http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.3.7.9.dfsg2.orig.tar.gz; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.3.7.9.dfsg2-1~lenny3.dsc; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.3.7.9.dfsg2-1~lenny3.diff.gz
Alpha:: http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++10_6.3.7.9.dfsg2-1~lenny3_alpha.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.3.7.9.dfsg2-1~lenny3_alpha.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick10_6.3.7.9.dfsg2-1~lenny3_alpha.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.3.7.9.dfsg2-1~lenny3_alpha.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.3.7.9.dfsg2-1~lenny3_alpha.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.3.7.9.dfsg2-1~lenny3_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.3.7.9.dfsg2-1~lenny3_amd64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick10_6.3.7.9.dfsg2-1~lenny3_amd64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++10_6.3.7.9.dfsg2-1~lenny3_amd64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.3.7.9.dfsg2-1~lenny3_amd64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.3.7.9.dfsg2-1~lenny3_amd64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.3.7.9.dfsg2-1~lenny3_amd64.deb
ARM EABI:: http://security.debian.org/pool/updates/main/i/imagemagick/libmagick10_6.3.7.9.dfsg2-1~lenny3_armel.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++10_6.3.7.9.dfsg2-1~lenny3_armel.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.3.7.9.dfsg2-1~lenny3_armel.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.3.7.9.dfsg2-1~lenny3_armel.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.3.7.9.dfsg2-1~lenny3_armel.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.3.7.9.dfsg2-1~lenny3_armel.deb
HP Precision:: http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.3.7.9.dfsg2-1~lenny3_hppa.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.3.7.9.dfsg2-1~lenny3_hppa.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick10_6.3.7.9.dfsg2-1~lenny3_hppa.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.3.7.9.dfsg2-1~lenny3_hppa.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.3.7.9.dfsg2-1~lenny3_hppa.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++10_6.3.7.9.dfsg2-1~lenny3_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.3.7.9.dfsg2-1~lenny3_i386.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.3.7.9.dfsg2-1~lenny3_i386.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick10_6.3.7.9.dfsg2-1~lenny3_i386.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.3.7.9.dfsg2-1~lenny3_i386.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++10_6.3.7.9.dfsg2-1~lenny3_i386.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.3.7.9.dfsg2-1~lenny3_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.3.7.9.dfsg2-1~lenny3_ia64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.3.7.9.dfsg2-1~lenny3_ia64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.3.7.9.dfsg2-1~lenny3_ia64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.3.7.9.dfsg2-1~lenny3_ia64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick10_6.3.7.9.dfsg2-1~lenny3_ia64.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++10_6.3.7.9.dfsg2-1~lenny3_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.3.7.9.dfsg2-1~lenny3_mips.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.3.7.9.dfsg2-1~lenny3_mips.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.3.7.9.dfsg2-1~lenny3_mips.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.3.7.9.dfsg2-1~lenny3_mips.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++10_6.3.7.9.dfsg2-1~lenny3_mips.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick10_6.3.7.9.dfsg2-1~lenny3_mips.deb
Little-endian MIPS:: http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.3.7.9.dfsg2-1~lenny3_mipsel.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick10_6.3.7.9.dfsg2-1~lenny3_mipsel.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++10_6.3.7.9.dfsg2-1~lenny3_mipsel.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.3.7.9.dfsg2-1~lenny3_mipsel.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.3.7.9.dfsg2-1~lenny3_mipsel.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.3.7.9.dfsg2-1~lenny3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.3.7.9.dfsg2-1~lenny3_powerpc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.3.7.9.dfsg2-1~lenny3_powerpc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.3.7.9.dfsg2-1~lenny3_powerpc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.3.7.9.dfsg2-1~lenny3_powerpc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick10_6.3.7.9.dfsg2-1~lenny3_powerpc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++10_6.3.7.9.dfsg2-1~lenny3_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/i/imagemagick/libmagick10_6.3.7.9.dfsg2-1~lenny3_s390.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.3.7.9.dfsg2-1~lenny3_s390.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.3.7.9.dfsg2-1~lenny3_s390.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++10_6.3.7.9.dfsg2-1~lenny3_s390.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.3.7.9.dfsg2-1~lenny3_s390.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.3.7.9.dfsg2-1~lenny3_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++10_6.3.7.9.dfsg2-1~lenny3_sparc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick9-dev_6.3.7.9.dfsg2-1~lenny3_sparc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/perlmagick_6.3.7.9.dfsg2-1~lenny3_sparc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick++9-dev_6.3.7.9.dfsg2-1~lenny3_sparc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/imagemagick_6.3.7.9.dfsg2-1~lenny3_sparc.deb; http://security.debian.org/pool/updates/main/i/imagemagick/libmagick10_6.3.7.9.dfsg2-1~lenny3_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.