UPDATE: DFN-CERT-2016-1090 ImageMagick, GraphicsMagick: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Linux][SuSE]

DFN-CERT portal at dfn-cert.de
Mon Jul 11 17:05:03 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 2 (11.07.2016):
    Für SUSE Studio Onsite 1.3, SUSE Linux Enterprise Software Development Kit
    11 SP4 sowie Debuginfo 11 SP4 stehen Sicherheitsupdates für GraphicsMagick
    bereit.
  Version 1 (07.07.2016):
    Neues Advisory

Betroffene Software:

  GraphicsMagick
  ImageMagick
  

Betroffene Plattformen:

  SUSE Linux Enterprise Debuginfo 11 SP4
  SUSE Linux Enterprise Software Development Kit  11 SP4
  SUSE Studio Onsite 1.3
  openSUSE 13.2
  


Mehrere Schwachstellen in ImageMagick ermöglichen einem zumeist entfernten,
nicht authentifizierten Angreifer mithilfe speziell präparierter Bilddateien
die Ausführung beliebigen Programmcodes, verschiedene
Denial-of-Service-Angriffe (DoS), das Ausspähen von Informationen und
eventuell weitere, nicht näher beschriebene Angriffe. 

Für openSUSE 13.2 steht ein Sicherheitsupdate für ImageMagick bereit.


Patch:

  openSUSE Security Update openSUSE-SU-2016:1748-1

  <http://lists.opensuse.org/opensuse-updates/2016-07/msg00018.html>

Patch:

  SUSE Security Update SUSE-SU-2016:1783-1

  <https://lists.opensuse.org/opensuse-security-announce/2016-07/msg00010.html>


CVE-2016-5842: Schwachstelle in ImageMagick ermöglicht Ausspähen von
  Informationen

  Durch eine Schwachstelle in 'MagickCore/property.c' in ImageMagick kann ein
  bestimmter Parameter ('q') kontrolliert werden. Ein entfernter, nicht
  authentifizierter Angreifer kann dies in der Folge verwenden, um
  Informationen auszuspähen.


CVE-2016-5841: Schwachstelle in ImageMagick ermöglicht Ausführen beliebigen
  Programmcodes

  Durch eine Schwachstelle in 'MagickCore/profile.c' in ImageMagick kann es zu
  einem Ganzzahl-Überlauf (Integer Overflow) kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff durchführen oder möglicherweise
  beliebigen Programmcode zur Ausführung bringen.


CVE-2016-5691: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in 'ReadDCMImage()', dem DCM-Parser in ImageMagick,
  kann es zum Zugriff auf Null-Zeiger und Speicherschutzverletzungen kommen.
  Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
  speziell präparierten Bilddatei einen Denial-of-Service-Angriff ausführen
  oder die Integrität des Systems beeinträchtigen.


CVE-2016-5690: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in 'ReadDCMImage' in ImageMagick kann es bei der
  Verarbeitung von 'Pixel Scaling'-Tabellen zu einem Ganzzahl-Überlauf
  (Integer Overflow) kommen. Ein entfernter, nicht authentifizierter Angreifer
  kann mit Hilfe einer speziell präparierten Bilddatei einen
  Denial-of-Service-Angriff ausführen.


CVE-2016-5689: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  In der Funktion 'ReadDCMImage()' in ImageMagick wird nicht auf NULL-Zeiger
  geprüft. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
  einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
  ausführen.


CVE-2016-5687: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in der Funktion 'VerticalFilter()' in ImageMagick
  kann es zum Lesen über Speichergrenzen hinaus kommen (Out-of-bounds Memory
  Read). Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
  einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
  ausführen.


CVE-2016-4564: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Die Funktion 'DrawImage' in 'MagickCore/draw.c' in ImageMagick bevor 6.9.4-0
  und 7.x bevor 7.0.1-2 macht einen fehlerhaften Funktionsaufruf bei dem
  Versuch, dass nächste Token zu lokalisieren, wodurch es zu einem
  Pufferspeicherüberlauf (Buffer Overflow) und Absturz der Anwendung oder
  weiteren nicht näher spezifizierten Auswirkungen kommen kann. Ein
  entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
  präparierten Bilddatei einen Denial-of-Service-Angriff oder möglicherweise
  weitere Angriffe durchführen.


CVE-2016-4563: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Die Funktion 'TraceStrokePolygon' in 'MagickCore/draw.c' in ImageMagick
  bevor 6.9.4-0 und 7.x bevor 7.0.1-2 behandelt die Beziehung zwischen dem
  'BezierQuantum'-Wert und bestimmten 'Strokes'-Daten fehlerhaft, wodurch es
  zu einem Pufferspeicherüberlauf (Buffer Overflow) und Absturz der Anwendung
  oder weiteren nicht näher spezifizierten Auswirkungen kommen kann. Ein
  entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
  präparierten Bilddatei einen Denial-of-Service-Angriff oder möglicherweise
  weitere Angriffe durchführen.


CVE-2016-4562: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Die Funktion 'DrawDashPolygon' in 'MagickCore/draw.c' in ImageMagick bevor
  6.9.4-0 und 7.x bevor 7.0.1-2 behandelt die Berechnung bestimmter
  Ganzzahlendaten von Vertices fehlerhaft, wodurch es zu einem
  Pufferspeicherüberlauf (Buffer Overflow) und Absturz der Anwendung kommt.
  Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
  speziell präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2015-8902: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  PDB-Dateien zu einem Denial-of-Service-Zustand kommen. Ein lokaler, nicht
  authentifizierter Angreifer kann einen Denial-of-Service-Angriff ausführen.


CVE-2015-8900: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  HDR-Dateien zu einem Denial-of-Service-Zustand kommen. Ein lokaler, nicht
  authentifizierter Angreifer kann einen Denial-of-Service-Angriff ausführen.


CVE-2014-9854: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es zum Auffüllen von Speicher
  während der Identifizierung von Bildern kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2014-9852: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es zu einer fehlerhaften
  Verwendung eines Objektes nach dessen Zerstörung kommen. Ein entfernter,
  nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2014-9851: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es beim Parsen eines
  Ressourcen-Blocks zu einem Absturz der Anwendung kommen. Ein entfernter,
  nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2014-9850: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Aufgrund einer fehlerhaften Thread-Begrenzungslogik in ImageMagick kann es
  zu einem Absturz der Anwendung kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2014-9849: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in 'PNG Coder' in ImageMagick kann es bei der
  Verarbeitung von PNG-Dateien zu einem Absturz der Anwendung kommen. Ein
  entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
  präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2014-9848: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in 'Quantum Management' in ImageMagick kann es zu
  einem Speicherleck (Memory Leak) kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2014-9843: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Aufgrund fehlerhafter Begrenzungsüberprüfungen (Boundary Checks) kann es in
  der Funktion 'DecodePSDPixels' in ImageMagick bei der Verarbeitung von
  PSD-Dateien zu einem Absturz der Anwendung kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2014-9842: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  PSD-Dateien zu einem Speicherleck (Memory Leak) kommen. Ein entfernter,
  nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2014-9841: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  PSD-Dateien zu einer Ausnahme (Exception) kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2014-9838: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in 'magick/cache.c' in ImageMagick kann es aufgrund
  einer vollständigen Speichererschöpfung zu einem Absturz der Anwendung
  kommen (Out-of-memory Crash). Ein entfernter, nicht authentifizierter
  Angreifer kann mit Hilfe einer speziell präparierten Bilddatei einen
  Denial-of-Service-Angriff ausführen.


CVE-2014-9836: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  XPM-Dateien zu einem Absturz der Anwendung kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2014-9833: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  PSD-Dateien zu einem Überlauf auf dem Heap (Heap Overflow) kommen. Ein
  entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
  präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2014-9832: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  PCX-Dateien zu einem Überlauf auf dem Heap (Heap Overflow) kommen. Ein
  entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
  präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2014-9826: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  Sun-Dateien aufgrund falscher Fehlerbehandlung zu einem Absturz der
  Anwendung kommen. Ein entfernter, nicht authentifizierter Angreifer kann mit
  Hilfe einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
  ausführen.


CVE-2014-9825: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung
  korrumpierter PSD-Dateien zu einem Überlauf auf dem Heap (Heap Overflow)
  kommen. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
  einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
  ausführen.


CVE-2014-9824: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  PSD-Dateien zu einem Überlauf auf dem Heap (Heap Overflow) kommen. Ein
  entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
  präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2014-9823: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  Palm-Dateien zu einem Überlauf auf dem Heap (Heap Overflow) kommen. Ein
  entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
  präparierten Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2014-9822: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  In 'Quantum File' in ImageMagick existiert eine Schwachstelle, die auf einem
  Heap-basierten Pufferüberlauf beruht. Ein entfernter, nicht
  authentifizierter Angreifer kann die Schwachstelle für einen
  Denial-of-Service-Angriff ausnutzen.
  


CVE-2014-9821: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  XNM-Dateien zu einem Überlauf auf dem Heap (Heap Overflow) kommen. Ein
  entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
  präparierten Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9812: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Eine Schwachstelle in ImageMagick besteht aufgrund einer
  NULL-Zeiger-Dereferenzierung in der PostScript-Dateiverarbeitung. Ein
  entfernter, nicht authentifizierter Angreifer kann dadurch einen
  Denial-of-Service-Zustand auslösen. 


CVE-2014-9806: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Eine nicht näher spezifizierte Schwachstelle in ImageMagick kann durch die
  Verarbeitung einer manipulierten Datei zu einem partiellen
  Denial-of-Service-Zustand führen. 
  Ein entfernter, nicht authentifizierter Angreifer kann einen
  Denial-of-Service-Angriff ausführen. 


CVE-2016-5688: Schwachstelle in ImageMagick ermöglicht u.a.
  Denial-of-Service-Angriff

  Bei der Verarbeitung von WPG-Dateien kommt es aufgrund der Validierung von
  Eingangsparametern an falscher Stelle im Programmcode in Kombination mit
  falscher Fehlerbehandlung zu einem Überlauf auf dem Heap (Heap Overflow) und
  zu Schreibvorgängen an zufälligen Stellen im Speicher. Ein entfernter, nicht
  authentifizierter Angreifer kann dadurch einen Denial-of-Service-Angriff und
  möglicherweise weitere Angriffe ausführen.


CVE-2015-8903: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  VICAR-Dateien zu einer Endlosschleife kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2015-8901: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  MIFF-Dateien zu einer Endlosschleife kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2015-8894: Schwachstelle in ImageMagick ermöglicht Ausführung beliebigen
  Programmcodes

  Durch eine Schwachstelle in 'coders/tga.c' kann es bei der Verarbeitung von
  TGA-Bilddateien zur Freigabe bereits freigegebener Speicherbereiche kommen
  (Double Free). Ein entfernter, nicht authentifizierter Angreifer kann dies
  mit Hilfe einer speziell präparierten Bilddatei möglicherweise ausnutzen, um
  beliebigen Programmcode auszuführen.


CVE-2014-9853: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  RLE-Dateien zu einem Speicherleck kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9847: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  PNG-Dateien zu einem Denial-of-Service-Zustand kommen, da versucht wird,
  auch ein möglicherweise nicht existentes vorheriges Bild zu verarbeiten. Ein
  entfernter, nicht authentifizierter Angreifer kann einen
  Denial-of-Service-Angriff ausführen. 


CVE-2014-9846: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  RLE-Dateien zum Zugriff auf Speicher außerhalb des zugewiesenen
  Speicherbereichs kommen. Ein entfernter, nicht authentifizierter Angreifer
  kann mit Hilfe einer speziell präparierten Bilddatei einen
  Denial-of-Service-Angriff ausführen. 


CVE-2014-9845: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  DIB-Dateien zu einem Denial-of-Service-Zustand kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9844: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  RLE-Dateien zum Zugriff auf Speicher außerhalb des zugewiesenen
  Speicherbereichs (Out-of-bounds Access) kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9840: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  PALM-Dateien zum Zugriff auf Speicher außerhalb des zugewiesenen
  Speicherbereichs (Out-of-bounds Access) kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9839: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es in
  'magick/colormap-private.h' möglicherweise zum Zugriff auf Speicher
  außerhalb des zugewiesenen Speicherbereichs kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9837: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  PNM-Dateien zu einer Schutzverletzung (Segmentation Fault, SEGV) kommen, da
  auch korrupte Daten verarbeitet werden. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9835: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  WPF-Dateien zu einem Überlauf auf dem Heap kommen (Heap Overflow). Ein
  entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
  präparierten Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9834: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  PICT-Dateien zu einem Überlauf auf dem Heap kommen (Heap Overflow). Ein
  entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
  präparierten Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9831: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  beschädigten WPG-Dateien zu einem Denial-of-Service-Zustand kommen. Ein
  entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
  präparierten Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9830: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  beschädigten SUN-Dateien zu einem Denial-of-Service-Zustand kommen. Ein
  entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
  präparierten Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9829: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  SUN-Dateien zum Zugriff auf Speicher außerhalb des zugewiesenen
  Speicherbereichs kommen. Ein entfernter, nicht authentifizierter Angreifer
  kann mit Hilfe einer speziell präparierten Bilddatei einen
  Denial-of-Service-Angriff ausführen. 


CVE-2014-9828: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  PSD-Dateien mit vielen Farben zu einem Denial-of-Service-Zustand kommen. Ein
  entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
  präparierten Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9820: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  XPM-Dateien zu einem Überlauf auf dem Heap (Heap Overflow) kommen. Ein
  entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
  präparierten Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9819: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  PALM-Dateien zu einem Überlauf auf dem Heap (Heap Overflow) kommen. Ein
  entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
  präparierten Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9818: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  SUN-Dateien zum Zugriff auf Speicher außerhalb des zugewiesenen
  Speicherbereichs (Out-of-bounds Access) kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9817: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  PDB-Dateien zu einem Pufferüberlauf auf dem Heap (Heap Buffer Overflow)
  kommen. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
  einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
  ausführen. 


CVE-2014-9816: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  VIFF-Dateien zum Zugriff auf Speicher außerhalb des zugewiesenen
  Speicherbereichs kommen. Ein entfernter, nicht authentifizierter Angreifer
  kann mit Hilfe einer speziell präparierten Bilddatei einen
  Denial-of-Service-Angriff ausführen. 


CVE-2014-9815: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  WPG-Dateien zu einem Denial-of-Service-Zustand kommen. Ein entfernter, nicht
  authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen. 


CVE-2014-9814: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  WPG-Dateien zu einer NULL-Zeiger-Dereferenzierung kommen. Ein entfernter,
  nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
  Bilddatei einen Denial-of-Service-Angriff ausführen.


CVE-2014-9813: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  VIFF-Dateien zu einer Speicherschutzverletzung (Segmentation Fault, SEGV)
  kommen. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
  einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
  ausführen.
  


CVE-2014-9811: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  XWD-Dateien zu einer Speicherschutzverletzung (Segmentation Fault, SEGV)
  kommen. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
  einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
  ausführen.


CVE-2014-9810: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  DPX-Dateien zu einer Speicherschutzverletzung (Segmentation Fault, SEGV)
  kommen. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
  einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
  ausführen.


CVE-2014-9809: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Bei der Verarbeitung von XWD-Dateien kann es zu einer
  Speicherschutzverletzung kommen (Segmentation Fault, SEGV). Ein entfernter,
  nicht authentifizierter Angreifer kann mit Hilfe speziell präparierter
  Bilddateien einen Denial-of-Service-Angriff ausführen.


CVE-2014-9808: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Bei der Verarbeitung von DPC-Dateien kann es zu einer
  Speicherschutzverletzung kommen (Segmentation Fault, SEGV). Ein entfernter,
  nicht authentifizierter Angreifer kann mit Hilfe speziell präparierter
  Bilddateien einen Denial-of-Service-Angriff ausführen.


CVE-2014-9807: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle im PDB-Coder von ImageMagick kann es zur Freigabe
  von bereits freigegebenen Speicherbereichen kommen (Double Free). Ein
  entfernter, nicht authentifizierter Angreifer kann dadurch einen
  Denial-of-Service-Zustand auslösen.


CVE-2014-9805: Schwachstelle in ImageMagick ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in ImageMagick kann es bei der Verarbeitung von
  PNM-Dateien zu einer Speicherschutzverletzung (Segmentation Fault, SEGV)
  kommen. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe
  einer speziell präparierten Bilddatei einen Denial-of-Service-Angriff
  ausführen.


CVE-2015-8898: Schwachstelle in ImageMagick ermöglicht Denial-of-Service

  In magick/constitute.c von ImageMagick existiert eine nicht näher
  beschriebene Schwachstelle, die zu einem NULL-Zeigerzugriff (NULL Pointer
  Access) führt. Ein lokaler, nicht authentifizierter Angreifer kann einen
  Denial-of-Service-Angriff durchführen.


CVE-2015-8897: Schwachstelle in ImageMagick ermöglicht u.a.
  Denial-of-Service

  In der Funktion SpliceImage von ImageMagick existiert eine nicht näher
  beschriebene Schwachstelle, welche zu einem Fehler aufgrund Speicherzugriffs
  außerhalb zugewiesener Grenzen (Out-of-bounds) führt, wodurch es zu einem
  Absturz der Anwendung oder Offenlegung von Speicher kommen kann. Ein
  lokaler, nicht authentifizierter Angreifer kann einen
  Denial-of-Service-Angriff durchführen oder Informationen ausspähen.


CVE-2015-8896: Schwachstelle in ImageMagick ermöglicht Ausführen beliebigen
  Programmcodes

  In coders/pict.c von ImageMagick existiert eine nicht näher beschriebene
  Schwachstelle, welche zu einem Abschneiden von Ganzzahlen (Integer
  Truncation) führt. Ein entfernter, einfach authentifizierter Angreifer kann
  nicht näher spezifizierte Angriffe durchführen, welche ihm möglicherweise
  auch das Ausführen beliebigen Programmcodes ermöglichen.


CVE-2015-8895: Schwachstelle in ImageMagick ermöglicht Denial-of-Service

  In coders/icon.c von ImageMagick existiert eine nicht näher beschriebene
  Schwachstelle, welche zu einem Ganzzahlen- und Pufferspeicherüberlauf
  (Integer and Buffer Overflow) führt. Ein entfernter, einfach
  authentifizierter Angreifer kann einen Denial-of-Service-Angriff und
  möglicherweise weitere Angriffe durchführen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1090/>

Schwachstelle CVE-2015-8894 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8894>

Schwachstelle CVE-2016-4562 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4562>

Schwachstelle CVE-2016-4563 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4563>

Schwachstelle CVE-2016-4564 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4564>

Schwachstelle CVE-2014-9805 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9805>

Schwachstelle CVE-2014-9806 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9806>

Schwachstelle CVE-2014-9807 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9807>

Schwachstelle CVE-2014-9808 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9808>

Schwachstelle CVE-2014-9809 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9809>

Schwachstelle CVE-2014-9810 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9810>

Schwachstelle CVE-2014-9811 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9811>

Schwachstelle CVE-2014-9812 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9812>

Schwachstelle CVE-2014-9813 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9813>

Schwachstelle CVE-2014-9814 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9814>

Schwachstelle CVE-2014-9815 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9815>

Schwachstelle CVE-2014-9816 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9816>

Schwachstelle CVE-2014-9817 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9817>

Schwachstelle CVE-2014-9818 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9818>

Schwachstelle CVE-2014-9819 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9819>

Schwachstelle CVE-2014-9820 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9820>

Schwachstelle CVE-2014-9821 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9821>

Schwachstelle CVE-2014-9822 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9822>

Schwachstelle CVE-2014-9823 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9823>

Schwachstelle CVE-2014-9824 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9824>

Schwachstelle CVE-2014-9825 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9825>

Schwachstelle CVE-2014-9826 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9826>

Schwachstelle CVE-2014-9828 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9828>

Schwachstelle CVE-2014-9829 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9829>

Schwachstelle CVE-2014-9830 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9830>

Schwachstelle CVE-2014-9831 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9831>

Schwachstelle CVE-2014-9832 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9832>

Schwachstelle CVE-2014-9833 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9833>

Schwachstelle CVE-2014-9834 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9834>

Schwachstelle CVE-2014-9835 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9835>

Schwachstelle CVE-2014-9836 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9836>

Schwachstelle CVE-2014-9837 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9837>

Schwachstelle CVE-2014-9838 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9838>

Schwachstelle CVE-2014-9839 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9839>

Schwachstelle CVE-2014-9840 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9840>

Schwachstelle CVE-2014-9841 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9841>

Schwachstelle CVE-2014-9842 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9842>

Schwachstelle CVE-2014-9843 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9843>

Schwachstelle CVE-2014-9844 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9844>

Schwachstelle CVE-2014-9845 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9845>

Schwachstelle CVE-2014-9846 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9846>

Schwachstelle CVE-2014-9847 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9847>

Schwachstelle CVE-2014-9848 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9848>

Schwachstelle CVE-2014-9849 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9849>

Schwachstelle CVE-2014-9850 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9850>

Schwachstelle CVE-2014-9851 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9851>

Schwachstelle CVE-2014-9852 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9852>

Schwachstelle CVE-2014-9853 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9853>

Schwachstelle CVE-2014-9854 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9854>

Schwachstelle CVE-2015-8895 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8895>

Schwachstelle CVE-2015-8896 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8896>

Schwachstelle CVE-2015-8897 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8897>

Schwachstelle CVE-2015-8898 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8898>

Schwachstelle CVE-2015-8900 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8900>

Schwachstelle CVE-2015-8901 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8901>

Schwachstelle CVE-2015-8902 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8902>

Schwachstelle CVE-2015-8903 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8903>

Schwachstelle CVE-2016-5687 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5687>

Schwachstelle CVE-2016-5688 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5688>

Schwachstelle CVE-2016-5689 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5689>

Schwachstelle CVE-2016-5690 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5690>

Schwachstelle CVE-2016-5691 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5691>

Schwachstelle CVE-2016-5841 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5841>

Schwachstelle CVE-2016-5842 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5842>

openSUSE Security Update openSUSE-SU-2016:1748-1:
  <http://lists.opensuse.org/opensuse-updates/2016-07/msg00018.html>

SUSE Security Update SUSE-SU-2016:1783-1:
  <https://lists.opensuse.org/opensuse-security-announce/2016-07/msg00010.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160711/8f7b1f09/attachment.bin>


More information about the Security-Announce mailing list