Bulletin d'alerte Debian

DSA-3591-1 imagemagick -- Mise à jour de sécurité

Date du rapport :
1er juin 2016
Paquets concernés :
imagemagick
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 825799.
Dans le dictionnaire CVE du Mitre : CVE-2016-5118.
Plus de précisions :

Bob Friesenhahn du projet GraphicsMagick a découvert une vulnérabilité d'injection de commande dans ImageMagick, un ensemble de programmes pour manipuler des images. Un attaquant doté du contrôle sur l'image d'entrée ou sur le nom de fichier d'entrée peut exécuter des commandes arbitraires avec les privilèges de l'utilisateur exécutant l'application.

Cette mise à jour retire la possibilité d'utiliser un tuyau (|) dans les noms de fichiers devant interagir avec imagemagick.

La mise à niveau de libmagickcore-6.q16-2 est importante et pas seulement celle du paquet imagemagick. Les applications qui utilisent libmagickcore-6.q16-2 pourraient aussi être affectées et doivent être redémarrées après la mise à niveau.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 8:6.8.9.9-5+deb8u3.

Nous vous recommandons de mettre à jour vos paquets imagemagick.