Re: [MD:6381] Fw: [SA14466] Imagemagick Filename Handling Format String Vulnerability

[Eisaku YAMAGUCHI <eisaku@xxxxxxxxxxxxxxxxxx>]

山口です．

From: Shuichi KITAGUCHI <kit@xxxxxxxxxxx>
Subject: Re: [MD:6381] Fw: [SA14466] Imagemagick Filename Handling Format String Vulnerability
Date: Wed, 09 Mar 2005 00:04:29 +0900 (JST)
> 
> 北口です。
> 
> とてもタイミングがいいのですが、
> 
> > 最近，またImageMagicにsecurity holeが見つかりましたので，ImageMagic-6.2.0-3
> > 以降にしておく必要があるようです．
> >   c.f. http://secunia.com/advisories/14466/
> 残念ながら6.2.0-3も駄目みたいです。
>   http://www.gentoo.org/security/en/glsa/glsa-200503-11.xml

これ，小生が例示したSecuniaのものと同じ脆弱性のようにも見えるのですが...

同様のものに，Ubuntu Linux 4.10のAdvisoriesがあります．
  c.f. http://secunia.com/advisories/14476/

これでは，6.2.0-5以降にしろと言ってる訳でして...

結局，distribution毎の対応対応時期にリリースされているImageMagicの
Revisionに応じて，変動しているように思います．
これはあくまで，Ubuntu Linuxと，Gentoo Linuxとの状況を観察してみた限り
の主観的な感想なのですけれど...

困ったことに，ImageMagicのWebを斜め読みしてみた限りでは，security hole
の記述が見当たりませんし，source archiveの更新されているファイルの中を
あたってみても，やはりsecurity holeの記述が明示されていないようなのです．

そのあたりを考慮して，先のメイルではUbuntu Linux, Gentoo Linux,
ImageMagicの三者のSecurity holeに関する情報を総合すると，6.2.0-3以降で
対応ということらしいと小生が読み取ったとお考え下さい．

> # 今使っているのは6.2.0-3なので、アウトです...

あら．-5とか-6じゃなかったのですね．;-)

> 悩ましいところです。

他の，distributionも近々に対応することでしょうし，この手のsecurity情報
を観察しつつ判断するのも一案と思います．

p.s.
ImageMagicのdiffを見て，「これぢゃどのrevisionでsecurity holeの対策が
されたのか確認するのも一苦労ぢゃん（三河弁）」と思っちゃいました．

-- Eisaku YAMAGUCHI