Seguridad

Actualización de seguridad de la suite ImageMagick

Se ha publicado una actualización de la suite de manipulación de imágenes ImageMagick que corrige múltiples vulnerabilidades. 

ImageMagick es un conjunto de herramientas orientada a la creación, edición y manipulación de imágenes desde linea de comandos o mediante una biblioteca de funciones disponible en diversos lenguajes de programación. Actualmente soporta más de 200 formatos de medios, está escrita principalmente en lenguaje C y posee una licencia de código abierto.

Los errores corregidos, según CVE, son:

CVE-2017-10995

Corregido un desbordamiento de memoria intermedia en la función ‘mng_get_long’ del archivo ‘coders/png.c’. Este fallo podría causar una denegación de servicio, y potencialmente ejecutar código arbitrario, cuando se procesa una imagen especialmente manipulada de formato MNG. 

CVE-2017-11533

Corregido un desbordamiento de memoria intermedia en la función ‘WriteUILImage’ del archivo ‘coders/uil.c’. Este fallo podría causar una denegación de servicio, y potencialmente ejecutar código arbitrario, cuando se procesa un archivo especialmente manipulado con la herramienta ‘convert’. 

CVE-2017-11535

Idem al anterior CVE pero corregido en la función ‘WritePSImage’ del archivo ‘coders/ps.c’.

CVE-2017-11639

Idem al anterior CVE pero corregido en la función ‘WriteCIPImage’ del archivo ‘coders/cip.c’.

CVE-2017-13143

Corregido un error de revelación de información al usar memoria no inicializada en la función ‘ReadMATImage’ del archivo ‘coders/mat.c’. Este fallo podría permitir a un atacante obtener información importante de la memoria del proceso. 

CVE-2017-17504

Corregido un desbordamiento de memoria intermedia en la función ‘Magick_png_read_raw_profile’ del archivo ‘coders/png.c’. Este fallo podría causar una denegación de servicio, y potencialmente ejecutar código arbitrario, cuando se procesa un archivo especialmente manipulado; no especifica un formato concreto. 

CVE-2017-17879

Corregido un desbordamiento de memoria intermedia en la función ‘ReadOneMNGImage’ del archivo ‘coders/png.c’. El fallo se encuentra en un error al calcular la longitud de un búfer. 


CVE-2018-5248

Corregido un desbordamiento de memoria intermedia en la función ‘ReadSIXELImage’ del archivo ‘coders/sixel.c’. Este fallo podría causar una denegación de servicio, y potencialmente ejecutar código arbitrario, cuando se procesa una imagen especialmente manipulada de formato SIXEL

La última versión publicada, libre de los fallos comentados, es la 7.0.7-35; todas las anteriores estarían afectadas por los mismos. La actualización está disponible en todos los sistemas operativos soportados.


David García

Más información:

ImageMagick






Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.