[Sec-cert] [Fedora] Schwachstelle in GraphicsMagick bis einschliesslich Version 6.5.2-8 - FEDORA-2010-0001 / FEDORA-2010-0036

WiN Site Security Contacts win-sec-ssc at lists.dfn-cert.de
Mi Jan 13 16:40:11 CET 2010


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2009-1882 - Integer Overflow in der in ImageMagick Funktion
XMakeImage()

  In der ImageMagick Funktion XMakeImage() laesst sich durch ein
  entsprechend aufgebautes TIFF Bild ein Integer Overflow ausloesen, der
  wiederum zu einem Buffer Overflow fuehrt. Ein Angreifer kann diese
  Schwachstelle dazu ausnutzen, beliebigen Code mit den Rechten des
  Benutzers auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket GraphicsMagick

  Fedora 11
  Fedora 12

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  http://lists.fedoraproject.org/pipermail/package-announce/2010-January/033328.html
  http://lists.fedoraproject.org/pipermail/package-announce/2010-January/033833.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
		Klaus Moeller, DFN-CERT

- -- 
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556

DFN-CERT Services GmbH, https://www.dfn-cert.de,  Phone  +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805,  Ust-IdNr.:  DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

17. DFN Workshop    "Sicherheit in vernetzten Systemen"    09./10.02.2010
Informationen unter https://www.dfn-cert.de/veranstaltungen/workshop.html

- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2010-0001
2010-01-02 02:50:22
- --------------------------------------------------------------------------------

Name        : GraphicsMagick
Product     : Fedora 11
Version     : 1.3.7
Release     : 4.fc11
URL         : http://www.graphicsmagick.org/
Summary     : An ImageMagick fork, offering faster image generation and better quality
Description :
GraphicsMagick is a comprehensive image processing package which is initially
based on ImageMagick 5.5.2, but which has undergone significant re-work by
the GraphicsMagick Group to significantly improve the quality and performance
of the software.

- --------------------------------------------------------------------------------
ChangeLog:

* Mon Dec 28 2009 Rex Dieter <rdieter at fedoraproject.org> - 1.3.7-4
- - CVE-2009-1882 (#503017)
* Fri Dec  4 2009 Stepan Kasal <skasal at redhat.com> - 1.3.7-3
- - rebuild against perl 5.10.1
* Fri Nov  6 2009 Rex Dieter <rdieter at fedoraproject.org> - 1.3.7-2
- - cleanup/uncruftify .spec
* Thu Sep 17 2009 Rex Dieter <rdieter at fedoraproject.org> - 1.3.7-1
- - GraphicsMagick-1.3.7
* Mon Aug  3 2009 Ville Skyttä <ville.skytta at iki.fi> - 1.3.6-2
- - Use lzma-compressed upstream source tarball.
* Wed Jul 29 2009 Rex Dieter <rdieter at fedoraproject.org> 1.3.6-1
- - GraphicsMagick-1.3.6
* Fri Jul 24 2009 Fedora Release Engineering <rel-eng at lists.fedoraproject.org> - 1.3.5-2
- - Rebuilt for https://fedoraproject.org/wiki/Fedora_12_Mass_Rebuild
* Tue Jun 30 2009 Rex Dieter <rdieter at fedoraproject.org> - 1.3.5-1
- - GraphicsMagick-1.3.5, ABI break (#487605)
- - --without-libgs (for now, per upstream advice)
- - BR: jasper-devel
* Tue Jun 30 2009 Rex Dieter <rdieter at fedoraproject.org> - 1.1.15-1
- - GraphicsMagick-1.1.15
- - fix BuildRoot
- - multiarch conflicts in GraphicsMagick (#341381)
- - broken -L in GraphicsMagick.pc (#456466)
- - %files: track sonames
- --------------------------------------------------------------------------------
References:

  [ 1 ] Bug #503017 - CVE-2009-1882 ImageMagick, GraphicsMagick: Integer overflow in the routine creating X11 images
        https://bugzilla.redhat.com/show_bug.cgi?id=503017
- --------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update GraphicsMagick' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLTelbWmhIvjFb90URAv5cAJ49XxlkdmRjCf9M22g37BydAg8kPACfSMT9
PBPFqt3F0LKOrhOcyAgDt88=
=kiDB
-----END PGP SIGNATURE-----



Mehr Informationen über die Mailingliste Sec-cert