Lädt...

🕵️ GraphicsMagick bis 7.0.3.2 Image MagickCore/memory.c AcquireMagickMemory unbekannte Schwachstelle


Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com

Es wurde eine Schwachstelle in GraphicsMagick bis 7.0.3.2 entdeckt. Sie wurde als kritisch eingestuft. Hiervon betroffen ist die Funktion AcquireMagickMemory der Datei MagickCore/memory.c der Komponente Image Handler. Wie sich ein erfolgreicher Angriff genau auswirkt, ist nicht bekannt.

Die Schwachstelle wurde am 15.02.2017 (oss-sec) publiziert. Das Advisory kann von openwall.com heruntergeladen werden. Die Identifikation der Schwachstelle wird seit dem 20.10.2016 mit CVE-2016-8862 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 94946 (openSUSE Security Update : GraphicsMagick (openSUSE-2016-1311)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family SuSE Local Security Checks zugeordnet.

Ein Aktualisieren auf die Version 7.0.3.3 vermag dieses Problem zu lösen.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 93794) dokumentiert.

CVSSv3

Base Score: ≈6.3
Temp Score: ≈6.0
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X
Zuverlässigkeit: Low

CVSSv2

Base Score: ≈6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P)
Temp Score: ≈5.2 (CVSS2#E:ND/RL:OF/RC:ND)
Zuverlässigkeit: Low

CPE

Exploiting

Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Nessus ID: 94946
Nessus Name: openSUSE Security Update : GraphicsMagick (openSUSE-2016-1311)
Nessus File: openSUSE-2016-1311.nasl
Nessus Family: SuSE Local Security Checks
OpenVAS ID: 880060
OpenVAS Name: SuSE Update for ImageMagick openSUSE-SU-2016:3233-1 (ImageMagick)
OpenVAS File: gb_suse_2016_3233_1.nasl
OpenVAS Family: SuSE Local Security Checks

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: GraphicsMagick 7.0.3.3

Timeline

20.10.2016 CVE zugewiesen
15.02.2017 Advisory veröffentlicht
16.02.2017 VulDB Eintrag erstellt
16.02.2017 VulDB letzte Aktualisierung

Quellen

Advisory: openwall.com
Bestätigung: bugzilla.redhat.com

CVE: CVE-2016-8862 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 93794

Eintrag

Erstellt: 16.02.2017
Eintrag: 71.2% komplett
...

matomo