Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02231

Опубликовано: 01 апр. 2023
Источник: fstec
CVSS3: 5.5
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость функции importmultispectralquantum() консольного графического редактора ImageMagick вызвана переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Novell Inc.
ООО «Ред Софт»
АО «ИВК»
ImageMagick Studio LLC
АО "НППКТ"

Наименование ПО

openSUSE Tumbleweed
РЕД ОС
OpenSUSE Leap
Альт 8 СП
Suse Linux Enterprise Server
Suse Linux Enterprise Desktop
SUSE Linux Enterprise Server for SAP Applications
SUSE Manager Retail Branch Server
SUSE Manager Proxy
SUSE Manager Server
SUSE Linux Enterprise High Performance Computing
SUSE Linux Enterprise Module for Desktop Applications
SUSE Linux Enterprise Module for Development Tools
ImageMagick
АЛЬТ СП 10
ОСОН ОСнова Оnyx

Версия ПО

- (openSUSE Tumbleweed)
7.3 (РЕД ОС)
15.4 (OpenSUSE Leap)
- (Альт 8 СП)
15 SP4 (Suse Linux Enterprise Server)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
4.3 (SUSE Manager Retail Branch Server)
4.3 (SUSE Manager Proxy)
4.3 (SUSE Manager Server)
15 SP4 (SUSE Linux Enterprise High Performance Computing)
15 SP4 (SUSE Linux Enterprise Module for Desktop Applications)
15 SP4 (SUSE Linux Enterprise Module for Development Tools)
до 6.9.12-84 (ImageMagick)
от 7.1.1-4 до 7.1.1-6 (ImageMagick)
- (АЛЬТ СП 10)
до 2.10 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Сетевое средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -
ООО «Ред Софт» РЕД ОС 7.3
Novell Inc. OpenSUSE Leap 15.4
АО «ИВК» Альт 8 СП -
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для ImageMagick:
https://github.com/ImageMagick/ImageMagick6/commit/e30c693b37c3b41723f1469d1226a2c814ca443d
https://github.com/ImageMagick/ImageMagick/commit/d7a8bdd7bb33cf8e58bc01b4a4f2ea5466f8c6b3
Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-1906.html
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения imagemagick до версии 8:6.9.11.60+dfsg-1.3+deb11u3.osnova1
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 7%
0.00029
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20240620-18

CVSS3: 7.5
redos
больше 1 года назад

Множественные уязвимости ImageMagick 7

redos логотип

ROS-20240620-17

CVSS3: 7.5
redos
больше 1 года назад

Множественные уязвимости ImageMagick

ubuntu логотип

CVE-2023-1906

CVSS3: 5.5
ubuntu
больше 2 лет назад

A heap-based buffer overflow issue was discovered in ImageMagick's ImportMultiSpectralQuantum() function in MagickCore/quantum-import.c. An attacker could pass specially crafted file to convert, triggering an out-of-bounds read error, allowing an application to crash, resulting in a denial of service.

redhat логотип

CVE-2023-1906

CVSS3: 5.5
redhat
больше 2 лет назад

A heap-based buffer overflow issue was discovered in ImageMagick's ImportMultiSpectralQuantum() function in MagickCore/quantum-import.c. An attacker could pass specially crafted file to convert, triggering an out-of-bounds read error, allowing an application to crash, resulting in a denial of service.

nvd логотип

CVE-2023-1906

CVSS3: 5.5
nvd
больше 2 лет назад

A heap-based buffer overflow issue was discovered in ImageMagick's ImportMultiSpectralQuantum() function in MagickCore/quantum-import.c. An attacker could pass specially crafted file to convert, triggering an out-of-bounds read error, allowing an application to crash, resulting in a denial of service.

EPSS

Процентиль: 7%
0.00029
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2