GraphicsMagick 缓冲区错误漏洞（CVE-2022-1270）

admin

0
文章

0
评论

2023-11-30 05:49:56 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 GraphicsMagick 缓冲区错误漏洞（CVE-2022-1270）

CVE编号

CVE-2022-1270

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-09-29

漏洞描述

GraphicsMagick是一套简单的图像处理工具。该工具对图像提供尺寸调整、旋转、加亮等功能。 GraphicsMagick 存在缓冲区错误漏洞，该漏洞源于ReadMIFFImage()函数中存在缓冲区溢出。攻击者利用该漏洞可以实现拒绝服务或运行代码。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：http://www.graphicsmagick.org/download.html

参考链接
https://lists.debian.org/debian-lts-announce/2022/11/msg00028.html
https://security.gentoo.org/glsa/202209-19
https://sourceforge.net/p/graphicsmagick/bugs/664/
https://www.debian.org/security/2022/dsa-5288

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	graphicsmagick	graphicsmagick	1.4.020220326	-
	运行在以下环境
	系统	alpine_3.18	graphicsmagick	*		Up to (excluding) 1.3.38-r0
	运行在以下环境
	系统	alpine_edge	graphicsmagick	*		Up to (excluding) 1.3.38-r0
	运行在以下环境
	系统	amazon_AMI	GraphicsMagick	*		Up to (excluding) 1.3.38-1.1.amzn1
	运行在以下环境
	系统	debian_10	graphicsmagick	*		Up to (excluding) 1.4+really1.3.35-1~deb10u3
	运行在以下环境
	系统	debian_11	graphicsmagick	*		Up to (excluding) 1.4+really1.3.36+hg16481-2+deb11u1
	运行在以下环境
	系统	debian_12	graphicsmagick	*		Up to (excluding) 1.4+really1.3.38-1
	运行在以下环境
	系统	debian_sid	graphicsmagick	*		Up to (excluding) 1.4+really1.3.38-1
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	GraphicsMagick	*		Up to (excluding) 1.3.30-10.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	GraphicsMagick	*		Up to (excluding) 1.3.30-10.ky10
	运行在以下环境
	系统	kylinos_loongarch64_V10SP1	GraphicsMagick	*		Up to (excluding) 1.3.30-10.a.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	GraphicsMagick	*		Up to (excluding) 1.3.30-10.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	GraphicsMagick	*		Up to (excluding) 1.3.30-10.ky10
	运行在以下环境
	系统	opensuse_Leap_15.3	libGraphicsMagick-Q16	*		Up to (excluding) 1.3.35-150300.3.3.1
	运行在以下环境
	系统	suse_12_SP5	libMagickWand-6_Q16	*		Up to (excluding) 1-6.8.8.1-71.172.1
	运行在以下环境
	系统	ubuntu_20.04	graphicsmagick	*		Up to (excluding) 1.4+really1.3.35-1ubuntu0.1