中（Moderate）: ImageMagickのセキュリティアップデート

複数のセキュリティ問題を修正したImageMagickのアップデートパッケージがRed Hat Enterprise Linux 2.1で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中（moderate）」のセキュリティ問題と評価されています。

ImageMagickはX Window System用の画像表示および操作ツールであり、複数の画像フォーマットの読み取りと書き込みが可能です。

ImageMagickの中で、ヒープベースのバッファオーバーフローが複数発見されました。アタッカーによって巧妙に作成されたDCMファイルやXWDファイルを開くことで、任意のコードの実行を許してしまう可能性があります。(CVE-2007-1797)

ImageMagickがXCFファイルとDCMファイルをパースする処理の中で、DoS（Denial of Service）を誘発する複数の問題が発見されました。これらのフォーマットを利用し巧妙に作成された入力ファイルを処理すると、 ImageMagickの無限ループを誘発してしまいます。(CVE-2007-4985)

ImageMagickの中で、整数オーバーフローの問題が複数発見されました。アタッカーによって巧妙に作成されたDCMファイル、DIBファイル、XBMファイル、XCFファイル、XWDファイルを開くことにより、ImageMagickを実行しているユーザ権限で任意のコードの実行を許してしまう可能性があります。(CVE-2007-4986)

ImageMagickが不正な形式の特定のPCX画像を処理する過程の中で、ヒープベースのバッファオーバーフローが複数発見されました。アタッカーによって巧妙に作成されたPCXファイルを開くことで、任意のコードの実行を許してしまう可能性があります。(CVE-2008-1097)

ImageMagickの全てのユーザは、この問題を解決するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。

このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。

235071 - CVE-2007-1797 Heap overflow in ImageMagick's DCM and XWD coders
285861 - CVE-2008-1097 Memory corruption in ImageMagick's PCX coder
310091 - CVE-2007-4985 Infinite loops in ImageMagick's XCF and DCM coders
310121 - CVE-2007-4986 Multiple integer overflows in ImageMagick

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1797
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4985
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4986
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1097
http://www.redhat.com/security/updates/classification/#moderate

buffer, heap, integer, overflow, stack