Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-05612

Опубликовано: 03 мая 2016
Источник: fstec
CVSS3: 7.4
CVSS2: 4.3
EPSS Высокий

Описание

Уязвимость реализации HTTP- или FTP-протокола консольного графического редактора ImageMagick связана с недостаточной проверкой подлинности выполняемых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить SSRF-атаку

Вендор

Novell Inc.
Сообщество свободного программного обеспечения
ImageMagick Studio LLC
Red Hat Inc.
Canonical Ltd.
Slackware Linux Inc.
Oracle Corp.

Наименование ПО

openSUSE
Debian GNU/Linux
ImageMagick
SUSE Linux Enterprise Debuginfo
Red Hat Enterprise Linux
Ubuntu
OpenSUSE Leap
Slackware
Solaris
Suse Linux Enterprise Server
SUSE Linux Enterprise Software Development Kit
Oracle Linux
Suse Linux Enterprise Desktop
SUSE Manager
SUSE Manager Proxy
SUSE Linux Enterprise Workstation Extension
SUSE OpenStack Cloud

Версия ПО

13.2 (openSUSE)
1.2 (Debian GNU/Linux)
до 6.9.3-10 (ImageMagick)
от 7.0 до 7.0.1-1 (ImageMagick)
11 SP2 (SUSE Linux Enterprise Debuginfo)
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
12.04 (Ubuntu)
42.1 (OpenSUSE Leap)
14.0 (Slackware)
14.1 (Slackware)
10 (Solaris)
11.3 (Solaris)
11 SP4 (Suse Linux Enterprise Server)
11 SP4 (SUSE Linux Enterprise Software Development Kit)
15.10 (Ubuntu)
7 (Oracle Linux)
14.04 ESM (Ubuntu)
8 (Debian GNU/Linux)
11 SP3-LTSS (Suse Linux Enterprise Server)
12 SP1 (Suse Linux Enterprise Desktop)
11 SP2-LTSS (Suse Linux Enterprise Server)
12 SP1 (Suse Linux Enterprise Server)
12 SP1 (SUSE Linux Enterprise Software Development Kit)
2.1 (SUSE Manager)
2.1 (SUSE Manager Proxy)
6 (Oracle Linux)
12 (Suse Linux Enterprise Desktop)
12 SP1 (SUSE Linux Enterprise Workstation Extension)
12 (SUSE Linux Enterprise Workstation Extension)
12 (SUSE Linux Enterprise Software Development Kit)
-current (Slackware)
16.04 ESM (Ubuntu)
11-SP3 (SUSE Linux Enterprise Debuginfo)
11-SP4 (SUSE Linux Enterprise Debuginfo)
12 (Suse Linux Enterprise Server)
5 (SUSE OpenStack Cloud)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. openSUSE 13.2
Сообщество свободного программного обеспечения Debian GNU/Linux 1.2
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 12.04
Novell Inc. OpenSUSE Leap 42.1
Slackware Linux Inc. Slackware 14.0
Slackware Linux Inc. Slackware 14.1
Oracle Corp. Solaris 10
Oracle Corp. Solaris 11.3
Novell Inc. Suse Linux Enterprise Server 11 SP4
Canonical Ltd. Ubuntu 15.10
Oracle Corp. Oracle Linux 7
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Novell Inc. Suse Linux Enterprise Server 11 SP3-LTSS
Novell Inc. Suse Linux Enterprise Desktop 12 SP1
Novell Inc. Suse Linux Enterprise Server 11 SP2-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP1
Oracle Corp. Oracle Linux 6
Novell Inc. Suse Linux Enterprise Desktop 12
Slackware Linux Inc. Slackware -current
Canonical Ltd. Ubuntu 16.04 ESM
Novell Inc. Suse Linux Enterprise Server 12

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для ImageMagick:
https://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588
https://www.imagemagick.org/script/changelog.php
Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2016-05/msg00024.html
http://lists.opensuse.org/opensuse-security-announce/2016-05/msg00025.html
http://lists.opensuse.org/opensuse-security-announce/2016-05/msg00028.html
http://lists.opensuse.org/opensuse-security-announce/2016-05/msg00032.html
http://lists.opensuse.org/opensuse-security-announce/2016-05/msg00051.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2016-3718
Для Debian GNU/Linux:
http://www.debian.org/security/2016/dsa-3580
https://lists.debian.org/debian-lts-announce/2018/06/msg00009.html
Для Slackware:
http://www.slackware.com/security/viewer.php?l=slackware-security&y=2016&m=slackware-security.440568
Для программных продуктов Oracle:
http://www.oracle.com/technetwork/topics/security/bulletinjul2016-3090568.html
http://www.oracle.com/technetwork/topics/security/linuxbulletinapr2016-2952096.html
Для Ubuntu:
http://www.ubuntu.com/usn/USN-2990-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.87335
Высокий

7.4 High

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2016-3718

CVSS3: 5.5
ubuntu
больше 9 лет назад

The (1) HTTP and (2) FTP coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to conduct server-side request forgery (SSRF) attacks via a crafted image.

redhat логотип

CVE-2016-3718

redhat
больше 9 лет назад

The (1) HTTP and (2) FTP coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to conduct server-side request forgery (SSRF) attacks via a crafted image.

nvd логотип

CVE-2016-3718

CVSS3: 5.5
nvd
больше 9 лет назад

The (1) HTTP and (2) FTP coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to conduct server-side request forgery (SSRF) attacks via a crafted image.

debian логотип

CVE-2016-3718

CVSS3: 5.5
debian
больше 9 лет назад

The (1) HTTP and (2) FTP coders in ImageMagick before 6.9.3-10 and 7.x ...

github логотип

GHSA-q994-gg9f-3g56

CVSS3: 6.3
github
около 3 лет назад

The (1) HTTP and (2) FTP coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to conduct server-side request forgery (SSRF) attacks via a crafted image.

EPSS

Процентиль: 99%
0.87335
Высокий

7.4 High

CVSS3

4.3 Medium

CVSS2