Рекомендация Debian по безопасности

DSA-3591-1 imagemagick -- обновление безопасности

Дата сообщения:
01.06.2016
Затронутые пакеты:
imagemagick
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 825799.
В каталоге Mitre CVE: CVE-2016-5118.
Более подробная информация:

Боб Фрищенхан из проекта GraphicsMagick обнаружил уязвимость, приводящую к инъекции команды в ImageMagick, наборе программ для работы с изображениями. Злоумышленник, имеющий контроль над входным изображением или именем входного файла может выполнить произвольные команды с правами пользователя, запустившего приложение.

В Данном обновлении устранена возможность использования канала (|) в именах файлах при взаимодействии с imagemagick.

Важно, чтобы вы обновили пакет libmagickcore-6.q16-2, а не просто пакет imagemagick. Приложения, использующие libmagickcore-6.q16-2 могут быть подвержены описанной проблеме, поэтому их следует перезапустить после установки обновления.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 8:6.8.9.9-5+deb8u3.

Рекомендуется обновить пакеты imagemagick.