Lädt...

🕵️ GraphicsMagick 1.3.25 Image magick/memory.c MagickMalloc Pufferüberlauf


Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com

Eine kritische Schwachstelle wurde in GraphicsMagick 1.3.25 entdeckt. Hierbei geht es um die Funktion MagickMalloc der Datei magick/memory.c der Komponente Image Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 15.02.2017 (oss-sec) veröffentlicht. Auf openwall.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 15.10.2016 als CVE-2016-8684 statt. Der Angriff kann über das Netzwerk passieren. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 02/16/2017).

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 95704 (openSUSE Security Update : GraphicsMagick (openSUSE-2016-1430)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family SuSE Local Security Checks zugeordnet.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 93779) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 95509, 95517, 95518 und 96578.

CVSSv3

Base Score: ≈6.3
Temp Score: ≈6.3
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:X/RC:X
Zuverlässigkeit: Medium

CVSSv2

Base Score: ≈6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P)
Temp Score: ≈6.0 (CVSS2#E:ND/RL:ND/RC:ND)
Zuverlässigkeit: Medium

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Nessus ID: 95704
Nessus Name: openSUSE Security Update : GraphicsMagick (openSUSE-2016-1430)
Nessus File: openSUSE-2016-1430.nasl
Nessus Family: SuSE Local Security Checks
OpenVAS ID: 703746
OpenVAS Name: Debian Security Advisory DSA 3746-1 (graphicsmagick - security update)
OpenVAS File: deb_3746.nasl
OpenVAS Family: Debian Local Security Checks

Gegenmassnahmen

Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden

Timeline

15.10.2016 CVE zugewiesen
15.02.2017 Advisory veröffentlicht
16.02.2017 VulDB Eintrag erstellt
16.02.2017 VulDB letzte Aktualisierung

Quellen

Advisory: openwall.com
Bestätigung: hg.code.sf.net

CVE: CVE-2016-8684 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 93779

Siehe auch: 95509, 95517, 95518, 96578, 97002, 97003

Eintrag

Erstellt: 16.02.2017
Eintrag: 73.2% komplett
...

matomo