NVD Vulnerability Detail

CVE-2007-4985

Summary	ImageMagick before 6.3.5-9 allows context-dependent attackers to cause a denial of service via a crafted image file that triggers (1) an infinite loop in the ReadDCMImage function, related to ReadBlobByte function calls; or (2) an infinite loop in the ReadXCFImage function, related to ReadBlobMSBLong function calls.
Publication Date	Sept. 25, 2007, 7:17 a.m.
Registration Date	Jan. 29, 2021, 2:20 p.m.
Last Update	Oct. 16, 2018, 6:39 a.m.

CVSS2.0 : MEDIUM
Score	4.3
Vector	AV:N/AC:M/Au:N/C:N/I:N/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	はい

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:imagemagick:imagemagick:5.3.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.3.8:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.4.2.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.4.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.4.4.5:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.4.7:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.4.8:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.4.8.2_1.1.0:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.5.3_.2_1.2.0:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.5.4:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.5.6:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.5.6.0_20030409:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.5.7:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.5.7.15:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.1:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.2:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.2.5:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.4:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.4.4:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.5:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.6:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.6.2:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.7:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.8:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.1:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.2:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.4:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.5:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.6:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.7:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.8:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.0.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.0.7:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.1:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.2:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.3.4:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.4:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.4.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.4.5:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.5:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.6:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.7:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.8:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.9:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.9.2:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.3.1:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.3.2:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.3.3_3:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.3.3_5:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.3.3_6:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.3.4:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://bugs.gentoo.org/show_bug.cgi?id=186030	CONFIRM
2	http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=596	IDEFENSE
3	http://secunia.com/advisories/26926	SECUNIA
4	http://secunia.com/advisories/27048	SECUNIA
5	http://secunia.com/advisories/27309	SECUNIA
6	http://secunia.com/advisories/27364	SECUNIA
7	http://secunia.com/advisories/27439	SECUNIA
8	http://secunia.com/advisories/28721	SECUNIA
9	http://secunia.com/advisories/29786	SECUNIA
10	http://secunia.com/advisories/29857	SECUNIA
11	http://secunia.com/advisories/36260	SECUNIA
12	http://security.gentoo.org/glsa/glsa-200710-27.xml	GENTOO
13	http://studio.imagemagick.org/pipermail/magick-announce/2007-September/000037.html	MLIST
14	http://www.debian.org/security/2009/dsa-1858	DEBIAN
15	http://www.imagemagick.org/script/changelog.php	CONFIRM
16	http://www.mandriva.com/en/security/advisories?name=MDVSA-2008:035	MANDRIVA
17	http://www.novell.com/linux/security/advisories/2007_23_sr.html	SUSE
18	http://www.redhat.com/support/errata/RHSA-2008-0145.html	REDHAT
19	http://www.redhat.com/support/errata/RHSA-2008-0165.html	REDHAT
20	http://www.securityfocus.com/archive/1/483572/100/0/threaded	BUGTRAQ
21	http://www.securityfocus.com/bid/25764	BID	Patch
22	http://www.securitytracker.com/id?1018729	SECTRACK
23	http://www.ubuntu.com/usn/usn-523-1	UBUNTU
24	http://www.vupen.com/english/advisories/2007/3245	VUPEN
25	https://exchange.xforce.ibmcloud.com/vulnerabilities/36740	XF
26	https://issues.rpath.com/browse/RPL-1743	CONFIRM
27	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10869	OVAL

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-399	リソース管理の問題	https://cwe.mitre.org/data/definitions/399.html

JVN Vulnerability Information

Imagemagick の関数の呼び出し処理の不備によるサービス運用妨害 (DoS) の脆弱性

Title	Imagemagick の関数の呼び出し処理の不備によるサービス運用妨害 (DoS) の脆弱性
Summary	ImageMagick には、ReadDCMImage() 関数における ReadBlobByte() 関数の呼び出し、および ReadXCFImage() 関数における ReadBlobMSBLong() 関数の呼び出しにおいて、無限ループが発生することによる、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。
Possible impacts	第三者によって巧妙に細工されたイメージファイルの処理により、無限ループが発生し、サービス運用妨害 (DoS) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Sept. 24, 2007, midnight
Registration Date	May 16, 2008, 3:21 p.m.
Last Update	June 26, 2012, 2:15 p.m.

Affected System

レッドハット

Red Hat Enterprise Linux 3 (as)

Red Hat Enterprise Linux 3 (es)

Red Hat Enterprise Linux 3 (ws)

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 3.0

Red Hat Enterprise Linux Desktop 4.0

Red Hat Enterprise Linux Desktop 5.0 (client)

RHEL Desktop Workstation 5 (client)

サイバートラスト株式会社

Asianux Server 2.0

Asianux Server 2.1

ImageMagick

ImageMagick 6.3.5-9 未満のバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-4985	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4985
National Vulnerability Database (NVD)
2	CVE-2007-4985	http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-4985

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-399	https://jvndb.jvn.jp/ja/cwe/CWE-399.html
2	CWE-DesignError	https://www.ipa.go.jp/security/vuln/CWE.html#CWEDesignError

ベンダー情報

No	Name	URL
ImageMagick Change Log
1	6.3.5-9 ChangeLog	http://www.imagemagick.org/script/changelog.php
Magick-announce
2	ImageMagick 6.3.5-9	http://studio.imagemagick.org/pipermail/magick-announce/2007-September/000037.html
MIRACLE LINUX アップデート情報
3	ImageMagick (V2.x)	http://www.miraclelinux.com/update/linux/list.php?errata_id=1275
Red Hat Security Advisory
4	RHSA-2008:0145	https://rhn.redhat.com/errata/RHSA-2008-0145.html
5	RHSA-2008:0165	https://rhn.redhat.com/errata/RHSA-2008-0165.html
SECURITY BLOG
6	Multiple vulnerabilities in ImageMagick	https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_imagemagick
7	Multiple vulnerabilities in ImageMagick_1	https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_imagemagick1
レッドハットセキュリティーアップデート
8	RHSA-2008:0145	http://www.jp.redhat.com/support/errata/RHSA/RHSA-2008-0145J.html
9	RHSA-2008:0165	http://www.jp.redhat.com/support/errata/RHSA/RHSA-2008-0165J.html

その他

No	Name	URL
FrSIRT Advisories
1	FrSIRT/ADV-2007-3245	http://www.frsirt.com/english/advisories/2007/3245
ISS X-Force Database
2	36740	http://xforce.iss.net/xforce/xfdb/36740
SecurityFocus
3	25764	http://www.securityfocus.com/bid/25764
SecurityTracker
4	1018729	http://www.securitytracker.com/id?1018729

Change Log

No	Changed Details	Date of change
0	[2008年05月16日] 掲載 [2012年06月26日] ベンダ情報：オラクル (Multiple vulnerabilities in ImageMagick) を追加ベンダ情報：オラクル (Multiple vulnerabilities in ImageMagick_1) を追加	Feb. 17, 2018, 10:37 a.m.

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:imagemagick:imagemagick:5.3.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.3.8:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.4.2.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.4.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.4.4.5:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.4.7:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.4.8:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.4.8.2_1.1.0:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.5.3_.2_1.2.0:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.5.4:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.5.6:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.5.6.0_20030409:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.5.7:::::::*
cpe:2.3:a:imagemagick:imagemagick:5.5.7.15:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.1:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.2:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.2.5:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.4:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.4.4:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.5:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.6:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.6.2:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.7:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.0.8:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.1:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.2:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.4:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.5:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.6:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.7:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.1.8:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.0.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.0.7:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.1:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.2:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.3.4:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.4:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.4.3:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.4.5:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.5:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.6:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.7:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.8:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.9:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.2.9.2:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.3.1:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.3.2:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.3.3_3:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.3.3_5:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.3.3_6:::::::*
cpe:2.3:a:imagemagick:imagemagick:6.3.4:::::::*