🕵️ GraphicsMagick 1.3.25 Image magick/memory.c MagickMalloc Pufferüberlauf
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com
Eine kritische Schwachstelle wurde in GraphicsMagick 1.3.25 entdeckt. Hierbei geht es um die Funktion MagickMalloc
der Datei magick/memory.c der Komponente Image Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 15.02.2017 (oss-sec) veröffentlicht. Auf openwall.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 15.10.2016 als CVE-2016-8684 statt. Der Angriff kann über das Netzwerk passieren. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 02/16/2017).
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 95704 (openSUSE Security Update : GraphicsMagick (openSUSE-2016-1430)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family SuSE Local Security Checks zugeordnet.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 93779) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 95509, 95517, 95518 und 96578.
CVSSv3
Base Score: ≈6.3Temp Score: ≈6.3
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:X/RC:X
Zuverlässigkeit: Medium
CVSSv2
Base Score: ≈6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P)Temp Score: ≈6.0 (CVSS2#E:ND/RL:ND/RC:ND)
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: PufferüberlaufLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Nessus ID: 95704
Nessus Name: openSUSE Security Update : GraphicsMagick (openSUSE-2016-1430)
Nessus File: openSUSE-2016-1430.nasl
Nessus Family: SuSE Local Security Checks
OpenVAS ID: 703746
OpenVAS Name: Debian Security Advisory DSA 3746-1 (graphicsmagick - security update)
OpenVAS File: deb_3746.nasl
OpenVAS Family: Debian Local Security Checks
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt0-Day Time: 0 Tage seit gefunden
Timeline
15.10.2016 CVE zugewiesen15.02.2017 Advisory veröffentlicht
16.02.2017 VulDB Eintrag erstellt
16.02.2017 VulDB letzte Aktualisierung
Quellen
Advisory: openwall.comBestätigung: hg.code.sf.net
CVE: CVE-2016-8684 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityFocus: 93779
Siehe auch: 95509, 95517, 95518, 96578, 97002, 97003
Eintrag
Erstellt: 16.02.2017Eintrag: 73.2% komplett
...