Säkerhetsbulletin från Debian

DSA-3580-1 imagemagick -- säkerhetsuppdatering

Rapporterat den:
2016-05-16
Berörda paket:
imagemagick
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 823542.
I Mitres CVE-förteckning: CVE-2016-3714, CVE-2016-3715, CVE-2016-3716, CVE-2016-3717, CVE-2016-3718.
Ytterligare information:

Nikolay Ermishkin från Mail.Ru's säkerhetsgrupp och Stewie upptäckte flera sårbarheter i ImageMagick, en programuppsättning för bildmanipulering. Dessa sårbarheter, kollektivt kända som ImageTragick, är konsekvensen av bristande rengörning av opålitlig indata. En angripare med kontroll på bildindatan kunde, med samma rättigheter som användaren som kör applikationen, exekvera kod (CVE-2016-3714), göra HTTP GET- eller FTP-förfrågningar (CVE-2016-3718), ta bort (CVE-2016-3715), flytta (CVE-2016-3716), eller läsa (CVE-2016-3717) lokala filer.

Dessa sårbarheter är särskilt kritiska om Imagemagick behandlar bilder som kommer från distansparter, så som en del av en webtjänst.

Uppdateringen inaktiverar de sårbara bildkodarna (EPHEMERAL, URL, MVG, MSL, och PLT) och indirekta läsningar via filen /etc/ImageMagick-6/policy.xml. Utöver detta introducerar vi extra förebyggelse inklusive rengörning av indata filnamn i http/https-delegat, komplett remotion av PLT/Gnuplot-dekodern, och behovet av explicit referens i filnamnen gällande de osäkra kodarna.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 8:6.8.9.9-5+deb8u2.

Vi rekommenderar att ni uppgraderar era imagemagick-paket.