PT-2020-5512 · Imagemagick+2 · Imagemagick+2

Guilherme De Almeida Suckevicz

+1

·

Publicado

2020-12-08

·

Atualizado

2021-05-30

·

CVE-2020-27752

CVSS v2.0

7.8

Alta

VetorAV:N/AC:M/Au:N/C:N/I:P/A:C
Nome do software vulnerável e versões afetadas
Versões do ImageMagick anteriores à 7.0.9-0
Descrição
Foi encontrada uma falha no ImageMagick, no arquivo MagickCore/quantum-private.h, que poderia provocar um estouro de buffer de heap quando um invasor enviasse um arquivo malicioso para ser processado pelo ImageMagick. Isso provavelmente causaria um impacto na disponibilidade do aplicativo, mas também poderia afetar a integridade dos dados.
Recomendações
Para versões do ImageMagick anteriores à 7.0.9-0, atualize para a versão 7.0.9-0 ou posterior para resolver o problema. Como solução temporária, considere restringir o processamento de arquivos maliciosos para minimizar o risco de exploração. Evite usar a função vulnerável em MagickCore/quantum-private.h até que um patch esteja disponível.

Exploit

Correção

Heap Based Buffer Overflow

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-122CWE-787

Identificadores relacionados

ALT-PU-2021-1001
ALT-PU-2021-1440
BDU:2021-01009
CVE-2020-27752
OESA-2021-1198
OPENSUSE-SU-2021:0136-1
OPENSUSE-SU-2021:0148-1
OPENSUSE-SU-2021_0136-1
OPENSUSE-SU-2021_0148-1
SUSE-SU-2021:0153-1
SUSE-SU-2021:0156-1
SUSE-SU-2021:0199-1
SUSE-SU-2021:14598-1
SUSE-SU-2021_14598-1

Produtos afetados

Alt Linux
Imagemagick
Suse