Debians sikkerhedsbulletin

DSA-3591-1 imagemagick -- sikkerhedsopdatering

Rapporteret den:
1. jun 2016
Berørte pakker:
imagemagick
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 825799.
I Mitres CVE-ordbog: CVE-2016-5118.
Yderligere oplysninger:

Bob Friesenhahn fra GraphicsMagick-projektet, opdagede en kommandoindsprøjtningssårbarhed i ImageMagick, en programsamling til billedbehandling. En angriber med kontrol over inddatabillede eller inddatafilnavnet, kunne udføre vilkårlig kommandoer med rettighederne hørende til brugeren, der kører applikationen.

Opdateringen fjerner muligheden for at anvende pipe (|) i filnavne til at interagere med imagemagick.

Det er vigtigt at man opgraderer libmagickcore-6.q16-2 og ikke kun imagemagick-pakken. Applikationer, som anvender libmagickcore-6.q16-2, kan også være påvirkede, og skal genstartes efter opgraderingen.

I den stabile distribution (jessie), er dette problem rettet i version 8:6.8.9.9-5+deb8u3.

Vi anbefaler at du opgraderer dine imagemagick-pakker.