Säkerhetsbulletin från Debian

DSA-3591-1 imagemagick -- säkerhetsuppdatering

Rapporterat den:
2016-06-01
Berörda paket:
imagemagick
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 825799.
I Mitres CVE-förteckning: CVE-2016-5118.
Ytterligare information:

Bob Friesenhahn från projektet GraphicsMagick upptäckte en kommandoinjiceringssårbarhet i ImageMagick, en programuppsättning för bildmanipulation. En angripare med kontroll av en indatabild eller indatans filnamn kan köra godtyckliga kommandon med samma rättigheter som användaren som kör programmet.

Denna uppdatering tar bort möjligheten att använda rör (|) i filnamn för att interagera med imagemagick.

Det är viktigt att du uppgraderar libmagickcore-6.q16-2 och inte bara paketet imagemagick. Applikationer som använder libmagickcore-6.q16-2 kan även påverkas och måste startas om efter uppgraderingen.

För den stabila utgåvan (Jessie) har detta problem rättats i version 8:6.8.9.9-5+deb8u3.

Vi rekommenderar att ni uppgraderar era imagemagick-paket.