🕵️ GraphicsMagick bis 7.0.3.2 Image MagickCore/memory.c AcquireMagickMemory unbekannte Schwachstelle
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com
Es wurde eine Schwachstelle in GraphicsMagick bis 7.0.3.2 entdeckt. Sie wurde als kritisch eingestuft. Hiervon betroffen ist die Funktion AcquireMagickMemory
der Datei MagickCore/memory.c der Komponente Image Handler. Wie sich ein erfolgreicher Angriff genau auswirkt, ist nicht bekannt.
Die Schwachstelle wurde am 15.02.2017 (oss-sec) publiziert. Das Advisory kann von openwall.com heruntergeladen werden. Die Identifikation der Schwachstelle wird seit dem 20.10.2016 mit CVE-2016-8862 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 94946 (openSUSE Security Update : GraphicsMagick (openSUSE-2016-1311)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family SuSE Local Security Checks zugeordnet.
Ein Aktualisieren auf die Version 7.0.3.3 vermag dieses Problem zu lösen.
Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 93794) dokumentiert.
CVSSv3
Base Score: ≈6.3Temp Score: ≈6.0
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X
Zuverlässigkeit: Low
CVSSv2
Base Score: ≈6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P)Temp Score: ≈5.2 (CVSS2#E:ND/RL:OF/RC:ND)
Zuverlässigkeit: Low
CPE
- cpe:/a:graphicsmagick:graphicsmagick:7.0.3.0
- cpe:/a:graphicsmagick:graphicsmagick:7.0.3.1
- cpe:/a:graphicsmagick:graphicsmagick:7.0.3.2
Exploiting
Lokal: NeinRemote: Ja
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Nessus ID: 94946
Nessus Name: openSUSE Security Update : GraphicsMagick (openSUSE-2016-1311)
Nessus File: openSUSE-2016-1311.nasl
Nessus Family: SuSE Local Security Checks
OpenVAS ID: 880060
OpenVAS Name: SuSE Update for ImageMagick openSUSE-SU-2016:3233-1 (ImageMagick)
OpenVAS File: gb_suse_2016_3233_1.nasl
OpenVAS Family: SuSE Local Security Checks
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: GraphicsMagick 7.0.3.3
Timeline
20.10.2016 CVE zugewiesen15.02.2017 Advisory veröffentlicht
16.02.2017 VulDB Eintrag erstellt
16.02.2017 VulDB letzte Aktualisierung
Quellen
Advisory: openwall.comBestätigung: bugzilla.redhat.com
CVE: CVE-2016-8862 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityFocus: 93794
Eintrag
Erstellt: 16.02.2017Eintrag: 71.2% komplett
...