01
漏洞描述
ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。ImageMagick是免费软件:全部源码开放,可以自由使用,复制,修改,发布,它遵守GPL许可协议,可以运行于大多数的操作系统,ImageMagick的大多数功能的使用都来源于命令行工具。
ImageMagick在安全漏洞,攻击者通过发送特制的DICOM图像文件利用该漏洞导致信息泄露和拒绝服务。
02
漏洞危害
在 dcm.c 文件的 ImageMagick 的 RelinquishDCMInfo() 函数中发现了 heap-use-after-free 缺陷。当攻击者将特制的 DICOM 图像文件传递给 ImageMagick 进行转换时,就会触发此漏洞,从而可能导致信息泄露和拒绝服务。
03
影响范围
ImageMagick ImageMagick >=6.0,<=6.9.12-43
ImageMagick ImageMagick >=7.0.0-0,<=7.1.0-28
04
漏洞等级
中危
06
修复方案
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://imagemagick.org/index.php
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】ImageMagick资源管理错误漏洞(CVE-2022-1114)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论