ImageMagick bis 7.0.8 MagickCore/statistic.c Pufferüberlauf

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
4.3$0-$5k0.00

In ImageMagick bis 7.0.8 (Image Processing Software) wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Dabei geht es um ein unbekannter Prozess der Datei MagickCore/statistic.c. Dank Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-190. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

A flaw was found in ImageMagick in MagickCore/statistic.c. An attacker who submits a crafted file that is processed by ImageMagick could trigger undefined behavior in the form of values outside the range of type unsigned long. This would most likely lead to an impact to application availability, but could potentially cause other problems related to undefined behavior. This flaw affects ImageMagick versions prior to 7.0.9-0.

Die Schwachstelle wurde am 05.12.2020 an die Öffentlichkeit getragen. Das Advisory kann von bugzilla.redhat.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 27.10.2020 mit CVE-2020-27776 vorgenommen. Die Umsetzung des Angriffs kann dabei im lokalen Netzwerk erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.

Ein Upgrade auf die Version 7.0.9-0 vermag dieses Problem zu beheben.

Produktinfoedit

Typ

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 4.4
VulDB Meta Temp Score: 4.3

VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 3.3
NVD Vector: 🔒

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔒

Exploitinginfoedit

Klasse: Pufferüberlauf
CWE: CWE-190
ATT&CK: Unbekannt

Lokal: Nein
Remote: Teilweise

Verfügbarkeit: 🔒
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: ImageMagick 7.0.9-0

Timelineinfoedit

27.10.2020 CVE zugewiesen
05.12.2020 +39 Tage Advisory veröffentlicht
05.12.2020 +0 Tage VulDB Eintrag erstellt
12.12.2020 +7 Tage VulDB letzte Aktualisierung

Quelleninfoedit

Produkt: https://www.imagemagick.org/

Advisory: bugzilla.redhat.com
Status: Bestätigt

CVE: CVE-2020-27776 (🔒)

Eintraginfoedit

Erstellt: 05.12.2020 10:22
Aktualisierung: 12.12.2020 22:57
Anpassungen: (18) vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai vulnerability_cvss3_meta_basescore vulnerability_cvss3_meta_tempscore vulnerability_cvss2_nvd_basescore vulnerability_cvss3_nvd_basescore
Komplett: 🔍

Kommentare

Do you need the next level of professionalism?

Upgrade your account now!