Bulletin d'alerte Debian

DSA-3580-1 imagemagick -- Mise à jour de sécurité

Date du rapport :
16 mai 2016
Paquets concernés :
imagemagick
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 823542.
Dans le dictionnaire CVE du Mitre : CVE-2016-3714, CVE-2016-3715, CVE-2016-3716, CVE-2016-3717, CVE-2016-3718.
Plus de précisions :

Nikolay Ermishkin de l'équipe de sécurité de Mail.Ru et Stewie ont découvert plusieurs vulnérabilités dans ImageMagick, un ensemble de programmes pour manipuler des images. Ces vulnérabilités, connues collectivement sous le nom de ImageTragick, sont la conséquence de l'absence de vérification des entrées non fiables. Un attaquant doté du contrôle sur l'image d'entrée pourrait, avec les droits de l'utilisateur se servant de l'application, exécuter du code (CVE-2016-3714), faire des requêtes HTTP GET ou FTP (CVE-2016-3718), ou supprimer (CVE-2016-3715), déplacer (CVE-2016-3716), ou lire (CVE-2016-3717) des fichiers locaux.

Ces vulnérabilités sont particulièrement critiques si ImageMagick traite des images venant de parties distantes, par exemple d'une partie d'un service web.

La mise à jour désactive les codeurs vulnérables (EPHEMERAL, URL, MVG, MSL et PLT) et les lectures indirectes par l'intermédiaire du fichier /etc/ImageMagick-6/policy.xml. En complément, des préventions supplémentaires sont introduites, y compris quelques vérifications pour les noms de fichier d'entrée dans les délégués http/https, le retrait complet du décodeur PLT/Gnuplot et la nécessité de référence explicite dans le nom de fichier pour les codeurs non sûrs.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 8:6.8.9.9-5+deb8u2.

Nous vous recommandons de mettre à jour vos paquets imagemagick.