Se ha reportado una vulnerabilidad en
ImageMagick, una herramienta empleada por millones de sitios web para el
tratamiento de imágenes. La vulnerabilidad es considerada de gravedad alta y
podría permitir a un atacante provocar condiciones de denegación de servicio.
Como ya hemos comentado anteriormente,
ImageMagick es un conjunto de utilidades de código abierto para mostrar,
manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos.
Se trata de un conjunto de utilidades de línea de comandos empleado para la
manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o
vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado
por otros programas para la conversión de imágenes.
En el problema reportado, con CVE-
2017-15281, debido a un error al ejecutar ‘./magick convert %file% /dev/null’
en determinados archivos podría causar un salto en memoria debido a valores no
inicializados. Esto podría ser aprovechado por un atacante remoto para provocar
una denegación de servicio (cierre de la aplicación) a través de
archivos especialmente manipulados.
Este problema afecta a las versiones
anteriores a la 7.0.7-6
Se recomienda actualizar a versiones
superiores.
Juan Sánchez
Más información:
ImageMagick
Conditional Statement depends on
uninitialized value #832
No hay comentarios:
Publicar un comentario