[Sec-cert] [Fedora] Schwachstelle in ImageMagick bis einschliesslich Version 6.5.2-8 - FEDORA-2010-0295

WiN Site Security Contacts win-sec-ssc at lists.dfn-cert.de
Mo Jan 11 14:00:15 CET 2010


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2009-1882 - Integer Overflow in der in ImageMagick Funktion
XMakeImage()

  In der ImageMagick Funktion XMakeImage() laesst sich durch ein
  entsprechend aufgebautes TIFF Bild ein Integer Overflow ausloesen, der
  wiederum zu einem Buffer Overflow fuehrt. Ein Angreifer kann diese
  Schwachstelle dazu ausnutzen, beliebigen Code mit den Rechten des
  Benutzers auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket ImageMagick

  Fedora 11

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  https://www.redhat.com/archives/fedora-package-announce/2010-January/msg00317.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
		Klaus Moeller, DFN-CERT

- -- 
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556

DFN-CERT Services GmbH, https://www.dfn-cert.de,  Phone  +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805,  Ust-IdNr.:  DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

17. DFN Workshop    "Sicherheit in vernetzten Systemen"    09./10.02.2010
Informationen unter https://www.dfn-cert.de/veranstaltungen/workshop.html

- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2010-0295
2010-01-07 21:15:00
- --------------------------------------------------------------------------------

Name        : ImageMagick
Product     : Fedora 11
Version     : 6.5.1.2
Release     : 2.fc11
URL         : http://www.imagemagick.org/
Summary     : An X application for displaying and manipulating images
Description :
ImageMagick is an image display and manipulation tool for the X
Window System. ImageMagick can read and write JPEG, TIFF, PNM, GIF,
and Photo CD image formats. It can resize, rotate, sharpen, color
reduce, or add special effects to an image, and when finished you can
either save the completed work in the original format or a different
one. ImageMagick also includes command line programs for creating
animated or transparent .gifs, creating composite images, creating
thumbnail images, and more.

ImageMagick is one of your choices if you need a program to manipulate
and display images. If you want to develop your own applications
which use ImageMagick code or APIs, you need to install
ImageMagick-devel as well.

- --------------------------------------------------------------------------------
Update Information:

- - Fix BZ#503017 (CVE-2009-1882), BZ#543519 add patch2 (
http://people.debian.org/~naoliv/misc/imagemagick/SA35216.diff ) to do not
update and ABI change.
- --------------------------------------------------------------------------------
ChangeLog:

* Wed Jan  6 2010 Pavel Alexeev <Pahan at Hubbitus.info> - 6.5.1.2-2
- - Fix BZ#503017 (CVE-2009-1882), BZ#543519 add patch2 ( http://people.debian.org/~naoliv/misc/imagemagick/SA35216.diff )
	to do not update and ABI change.
- --------------------------------------------------------------------------------
References:

  [ 1 ] Bug #503017 - CVE-2009-1882 ImageMagick, GraphicsMagick: Integer overflow in the routine creating X11 images
        https://bugzilla.redhat.com/show_bug.cgi?id=503017
- --------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update ImageMagick' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLSyDfWmhIvjFb90URAlUUAJ499znKFAQnDc6DvyXaEEOyL/l2CQCeJMqg
r1WGQhuY2DIUJ2gWUYp25rg=
=KU9k
-----END PGP SIGNATURE-----



Mehr Informationen über die Mailingliste Sec-cert