Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2016-3718

Опубликовано: 03 мая 2016
Источник: redhat
CVSS2: 4.3
EPSS Высокий

Описание

The (1) HTTP and (2) FTP coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to conduct server-side request forgery (SSRF) attacks via a crafted image.

A server-side request forgery flaw was discovered in the way ImageMagick processed certain images. A remote attacker could exploit this flaw to mislead an application using ImageMagick or an unsuspecting user using the ImageMagick utilities into, for example, performing HTTP(S) requests or opening FTP sessions via specially crafted images.

Меры по смягчению последствий

Details can be found under the resolve tab at https://access.redhat.com/security/vulnerabilities/2296071 Red Hat Enterprise Linux 6 and 7

As a workaround the /etc/ImageMagick/policy.xml file can be edited to disable processing of MVG, HTTPS, HTTP, URL, FTP, EPHEMERAL, MSL, LABEL, TEXT, SHOW, WIN and PLT commands within image files, simply add the following lines: within the policy map stanza: ... Red Hat Enterprise Linux 5

In the following folders: /usr/lib64/ImageMagick-6.2.8/modules-Q16/coders/ (64bit package) or /usr/lib/ImageMagick-6.2.8/modules-Q16/coders/ (32bit package) Rename the following files:

  • mvg.so to mvg.so.bak
  • msl.so to msl.so.bak
  • label.so to label.so.bak

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 5ImageMagickWill not fix
Red Hat OpenShift Enterprise 2ImageMagickAffected
Red Hat Enterprise Linux 6ImageMagickFixedRHSA-2016:072609.05.2016
Red Hat Enterprise Linux 7ImageMagickFixedRHSA-2016:072609.05.2016

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Low
Дефект:
CWE-352
https://bugzilla.redhat.com/show_bug.cgi?id=1332802ImageMagick: SSRF vulnerability

EPSS

Процентиль: 99%
0.87335
Высокий

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2016-3718

CVSS3: 5.5
ubuntu
больше 9 лет назад

The (1) HTTP and (2) FTP coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to conduct server-side request forgery (SSRF) attacks via a crafted image.

nvd логотип

CVE-2016-3718

CVSS3: 5.5
nvd
больше 9 лет назад

The (1) HTTP and (2) FTP coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to conduct server-side request forgery (SSRF) attacks via a crafted image.

debian логотип

CVE-2016-3718

CVSS3: 5.5
debian
больше 9 лет назад

The (1) HTTP and (2) FTP coders in ImageMagick before 6.9.3-10 and 7.x ...

github логотип

GHSA-q994-gg9f-3g56

CVSS3: 6.3
github
около 3 лет назад

The (1) HTTP and (2) FTP coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to conduct server-side request forgery (SSRF) attacks via a crafted image.

fstec логотип

BDU:2021-05612

CVSS3: 7.4
fstec
больше 9 лет назад

Уязвимость реализации HTTP- или FTP-протокола консольного графического редактора ImageMagick, позволяющая нарушителю осуществить SSRF-атаку

EPSS

Процентиль: 99%
0.87335
Высокий

4.3 Medium

CVSS2