ALT-PU-2025-11613-2

Обновление пакета ImageMagick в ветке sisyphus

Версия7.1.2.3-alt1

Задание#394636

Опубликовано2026-02-04

Макс. серьёзностьCRITICAL

Серьёзность:

Закрытые проблемы (3)

CRITICAL9.8

Уязвимость функций SeekBlob() и WriteBlob() консольного графического редактора ImageMagick, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2025-10-10Изменено: 2026-03-04

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0КРИТИЧЕСКАЯ 10.0

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C

Ссылки

CVE-2025-57807

CRITICAL9.8

ImageMagick is free and open-source software used for editing and manipulating digital images. ImageMagick versions lower than 14.8.2 include insecure functions: SeekBlob(), which permits advancing the stream offset beyond the current end without increasing capacity, and WriteBlob(), which then expands by quantum + length (amortized) instead of offset + length, and copies to data + offset. When offset ≫ extent, the copy targets memory beyond the allocation, producing a deterministic heap write on 64-bit builds. No 2⁶⁴ arithmetic wrap, external delegates, or policy settings are required. This is fixed in version 14.8.2.

Опубликовано: 2025-09-05Изменено: 2025-11-03

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

GHSA-23hg-53q6-hqfg

LOW3.8

ImageMagick BlobStream Forward-Seek Under-Allocation

Опубликовано: 2025-09-05Изменено: 2025-11-04

CVSS 3.xНИЗКАЯ 3.8

CVSS:3.x/CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:L

Ссылки