Prilikom upotrebe programskog paketa ImageMagick uočeni su višestruki sigurnosni propusti. Radi se o alatu namijenjenom stvaranju, obradi i pregledavanju grafičkih datoteka. Uočeni propusti javljaju se kao posljedica pogrešaka u radu funkcija "GetEXIFProperty()", "JPEGWarningHandler()", "TIFFGetEXIFProperties()", "GetEXIFProperty()" i "SyncImageProfiles()". Napadačima omogućuju izvođenje DoS (eng. Denial of Services) napada te prepisivanje memorije. Svim se korisnicima preporuča odgovarajuća nadogradnja.
Izvorni tekst preporuke
_______________________________________________________________________________
ID upozorenja: ADV-LSS-2012-04-024
Naslov: Vise ranjivosti programskog paketa ImageMagick
Datum: 2012-04-11
OS: Windows, Linux, Mac OS
Programski paket: ImageMagick
Tip sigurnosnog problema: DoS napad
Rizik: Malen
_______________________________________________________________________________
[1] Uvod
Prilikom u potrebe programskog paketa ImageMagick uoceni su visestruki propusti.
ImageMagick je alat namijenjen stvaranju, obradi i pregledavanju grafickih datoteka,
a ukljucuje formate DPX, EXR, GIF, JPEG, JPEG-2000, PDF, PhotoCD, PNG, Postscript, SVG, TIFF i dr. Moze se koristiti za promjenu velicine, rotaciju, transformiranje slike, prilagodjavanje boje slike, za linije, elipse, za primjenu razlicitih efekata i dr.
Korisnicima omogucuje odabir omiljenog jezika, npr. G2F (Ada), MagickCore (C), MagickWand (C), ChMagick (Ch), ImageMagickObject (COM+), Magick++ (C++), JMagick (Java), L-Magick (Lisp), NMagick (Neko/haXe), MagickNet (.NET), PascalMagick (Pascal), PerlMagick (Perl), MagickWand for PHP (PHP), IMagick (PHP), PythonMagick (Python), RMagick (Ruby) ili TclMagick (Tcl/TK).
Vise informacija dostupno je na sljedecoj web adresi:
http://www.imagemagick.org/script/index.php
-------------------------------------------------------------------------------
[2] Sigurnosni problem
Visestruke ranjivosti uocene u radu programskog paketa ImageMagick napadacima omogucuju izvodjenje DoS (eng. Denial of Services) napada.
-------------------------------------------------------------------------------
[3] Sigurnosna zastita
Svim se korisnicima preporuca nadogradnja na inacicu 6.7.6-4.
-------------------------------------------------------------------------------
[4] Analiza
Pogreska u radu funkcije "GetEXIFProperty()", odnosno datoteke magick/property.c pri
obradi formata JPEG EXIF sa komponentama brojaca od 0. Moze se iskoristiti za
neinicijalizirani pristup ili nepravilan pristup memoriji pomocu posebno oblikovanih JPEG datoteka.
Druga ranjivost javlja se zbog nedovoljne provjere u funkciji "JPEGWarningHandler()",
odnosno u datoteci coders/jpeg.c. Tocnije, pri rukovanju s datotekama u formatom JPEG moze iscrpiti sve resurse.
Pogreska u radu funkcije "TIFFGetEXIFProperties()", tj. datoteke coders/tiff.c pri
parsiranju formata TIFF EXIF IFD moze uzrokovati neispravnu memoriju za citanje i to
putem posebno oblikovane TIFF slike.
Posljednja ranjivost javlja se zbog cjelobrojnog prepisivanja (eng. integer overflow)
u funkciji "GetEXIFProperty()", odnosno u datoteci magick/property.c. To se odgadja pri
parsiranju tormata JPEG EXIF sa jako velikim brojacem komponenti, a moze rezultirati
prepisivanjem memorije. Slicna ranjivost javlja se i u funkciji "SyncImageProfiles()", tj.
u datoteci magick/profile.c.
Prve tri ranjivosti su potvrdjene u inacici 6.7.6-2 i inacicama prije nje, dok je posljednja
ranjivost potvrdjena u inacicama prije inacice 6.7.6-4.
-------------------------------------------------------------------------------
[5] Credit
Informacije o propustima otkrili su:
1-3) Aleksis Kauppinen, Joonas Kuorilehto i Tuomas Parttimaa,
4) Red Hat Security Response.
Tekstovi izvorne preporuke nalaze se na sljedecim adresama:
ImageMagick:
http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=20629
CERT-FI:
http://www.cert.fi/en/reports/2012/vulnerability635606.html
Red Hat Security Response:
http://seclists.org/oss-sec/2012/q2/19
-------------------------------------------------------------------------------
[6] LSS/ZESOI/FER
LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke
sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva
Sveucilista u Zagrebu
_______________________________________________________________________________
Posljednje sigurnosne preporuke