阿里云漏洞库

漏洞描述

ImageMagick是一个免费的创建、编辑、合成图片的软件。ImageMagick的大多数功能的使用都来源于命令行工具。

ImageMagick存在拒绝服务漏洞。攻击者可利用此漏洞造成受影响程序崩溃，导致拒绝服务。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://bugzilla.redhat.com/show_bug.cgi?id=1427975

参考链接
http://www.openwall.com/lists/oss-security/2017/02/28/2
http://www.securityfocus.com/bid/96544
https://bugzilla.redhat.com/show_bug.cgi?id=1427975
https://lists.debian.org/debian-lts-announce/2018/08/msg00002.html
https://sourceforge.net/p/graphicsmagick/code/ci/6156b4c2992d855ece6079653b3b...
https://usn.ubuntu.com/4206-1/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	graphicsmagick	graphicsmagick	*		Up to (including) 1.3.25
	运行在以下环境
	系统	alpine_3.10	graphicsmagick	*		Up to (excluding) 1.3.26-r0
	运行在以下环境
	系统	alpine_3.11	graphicsmagick	*		Up to (excluding) 1.3.26-r0
	运行在以下环境
	系统	alpine_3.12	graphicsmagick	*		Up to (excluding) 1.3.26-r0
	运行在以下环境
	系统	alpine_3.13	graphicsmagick	*		Up to (excluding) 1.3.26-r0
	运行在以下环境
	系统	alpine_3.14	graphicsmagick	*		Up to (excluding) 1.3.26-r0
	运行在以下环境
	系统	alpine_3.15	graphicsmagick	*		Up to (excluding) 1.3.26-r0
	运行在以下环境
	系统	alpine_3.16	graphicsmagick	*		Up to (excluding) 1.3.26-r0
	运行在以下环境
	系统	alpine_3.17	graphicsmagick	*		Up to (excluding) 1.3.26-r0
	运行在以下环境
	系统	alpine_3.18	graphicsmagick	*		Up to (excluding) 1.3.26-r0
	运行在以下环境
	系统	amazon_AMI	GraphicsMagick	*		Up to (excluding) 1.3.25-6.10.amzn1
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 1.3.25-8
	运行在以下环境
	系统	debian_10	graphicsmagick	*		Up to (excluding) 1.3.25-8
	运行在以下环境
	系统	debian_11	graphicsmagick	*		Up to (excluding) 1.3.25-8
	运行在以下环境
	系统	debian_12	graphicsmagick	*		Up to (excluding) 1.3.25-8
	运行在以下环境
	系统	fedora_24	GraphicsMagick-devel	*		Up to (excluding) 1.3.25-6.fc24
	运行在以下环境
	系统	fedora_25	GraphicsMagick-devel	*		Up to (excluding) 1.3.25-6.fc25
	运行在以下环境
	系统	fedora_EPEL_6	GraphicsMagick-devel	*		Up to (excluding) 1.3.25-6.el6
	运行在以下环境
	系统	fedora_EPEL_7	GraphicsMagick-devel	*		Up to (excluding) 1.3.25-6.el7
	运行在以下环境
	系统	opensuse_Leap_42.1	GraphicsMagick	*		Up to (excluding) 11-1.3.21-29.1
	运行在以下环境
	系统	opensuse_Leap_42.2	GraphicsMagick	*		Up to (excluding) 1.3.25-11.3.1
	运行在以下环境
	系统	ubuntu_16.04	graphicsmagick	*		Up to (excluding) 1.3.23-1ubuntu0.2
	运行在以下环境
	系统	ubuntu_16.04.7_lts	graphicsmagick	*		Up to (excluding) 1.3.23-1ubuntu0.2
	运行在以下环境
	系统	ubuntu_18.04.5_lts	graphicsmagick	*		Up to (excluding) 1.3.25-8
	运行在以下环境
	系统	ubuntu_18.10	graphicsmagick	*		Up to (excluding) 1.3.25-8

攻击路径

本地
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-125	跨界内存读

低危 ImageMagick拒绝服务漏洞（CNVD-2017-03324）

漏洞描述

解决建议

参考链接

受影响软件情况