Несколько уязвимостей в ImageMagick

Дата публикации:
31.12.2005
Дата изменения:
03.05.2008
Всего просмотров:
2663
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2005-4601
CVE-2006-0082
CVE-2006-2440
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
ImageMagick 6.x
Уязвимые версии: ImageMagick 6.2.5

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе.

1. Уязвимость существует в различных ImageMagick утилитах (display, identify) при обработке имени файла. Удаленный пользователь может с помощью специально сформированного файла, содержащего в своем название системные команды, выполнить произвольные команды на системе, если файл будет запущен из командной строки или с помощью диалогового окна.

2. Уязвимость существует из-за ошибки форматной строки при обработке имен файлов, полученных в качестве аргумента из командной строки. Злоумышленник может передать специально сформированное имя файла (например, file%d%n%n.gif) утилите "convert" и выполнить произвольный код на целевой системе.

URL производителя: www.imagemagick.org

Решение: Способов устранения уязвимости не существует в настоящее время.

Журнал изменений:

05.02.2008
Изменено название уязвимости
Обновлено описание уязвимости.

Ссылки: Shell command injection in delegate code (via file names)

или введите имя

CAPTCHA