Рекомендация Debian по безопасности

DSA-3580-1 imagemagick -- обновление безопасности

Дата сообщения:
16.05.2016
Затронутые пакеты:
imagemagick
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 823542.
В каталоге Mitre CVE: CVE-2016-3714, CVE-2016-3715, CVE-2016-3716, CVE-2016-3717, CVE-2016-3718.
Более подробная информация:

Николай Ермишкин из команды безопасности Mail.Ru и Стьюи обнаружили несколько уязвимостей в ImageMagick, наборе программ для работы с изображениями. Эти уязвимости, которые вместе известны под названием ImageTragick, являются следствиями отсутствия очистки недоверенных входных данных. Злоумышленник, имеющий возможность менять входное изображение, может с правами пользователя, запустившего приложение, выполнять код (CVE-2016-3714), делать HTTP-запросы GET или FTP-запросы (CVE-2016-3718), удалять (CVE-2016-3715), перемещать (CVE-2016-3716) или считывать (CVE-2016-3717) локальные файлы.

Эти уязвимости особенно критичны в том случае, если Imagemagick обрабатывает изображения, исходящие от удалённых сторон, таких как веб-службы.

Данное обновление отключает уязвимые преобразователи (EPHEMERAL, URL, MVG, MSL и PLT) и непрямое чтение в файле /etc/ImageMagick-6/policy.xml. Кроме того, мы добавили дополнительные ограничения, включая некоторую очистку имён входящих файлов в делегировании http/https, полное перемещение декодера PLT/Gnuplot, а также необходимость явной ссылки в имени файла для небезопасных преобразователей.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 8:6.8.9.9-5+deb8u2.

Рекомендуется обновить пакеты imagemagick.