Debians sikkerhedsbulletin

DSA-3580-1 imagemagick -- sikkerhedsopdatering

Rapporteret den:
16. maj 2016
Berørte pakker:
imagemagick
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 823542.
I Mitres CVE-ordbog: CVE-2016-3714, CVE-2016-3715, CVE-2016-3716, CVE-2016-3717, CVE-2016-3718.
Yderligere oplysninger:

Nikolay Ermishkin fra Mail.Ru Security Team og Stewie opdagede flere sårbarheder i ImageMagick, en programsamling til billedbehandling. Sårbarhederne, kollektivt kendt som ImageTragick, er konsekvensen af manglende fornuftighedskontrol inddata, der ikke er tillid til. En angriber med kontrol over billedinddata kunne, med rettighederne hørende til brugeren, som anvender applikationen, udføre kode (CVE-2016-3714), foretage HTTP GET- eller FTP-forespørgsler (CVE-2016-3718), eller slette (CVE-2016-3715), flytte (CVE-2016-3716) eller læse (CVE-2016-3717) lokale filer.

Sårbarhederne er særligt kritiske hvis Imagemagick behandler billeder fra fjerne steder så som en del af en webservice.

Opdateringen deaktiverer de sårbare kodere (EPHEMERAL, URL, MVG, MSL og PLT) samt indirekte læsninger gennem filen /etc/ImageMagick-6/policy.xml. Desuden indfører vi ekstra forebyggelse, herunder nogen fornuftighedskontrol af inddatafilnavne i http-/https-delegater, komplet remotion af PLT/Gnuplot-dekoderne og behov for eksplicit reference i filnavnet hørende til usikre kodere.

I den stabile distribution (jessie), er disse problemer rettet i version 8:6.8.9.9-5+deb8u2.

Vi anbefaler at du opgraderer dine imagemagick-pakker.