Debians sikkerhedsbulletin

DSA-3808-1 imagemagick -- sikkerhedsopdatering

Rapporteret den:
13. mar 2017
Berørte pakker:
imagemagick
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 856878, Fejl 856879, Fejl 856880, Fejl 857426, Fejl 844594.
I Mitres CVE-ordbog: CVE-2016-10252, CVE-2017-6498, CVE-2017-6499, CVE-2017-6500.
Yderligere oplysninger:

Denne opdatering retter flere sårbarheder i imagemagick: Forskellige hukommelseshåndteringsproblemer og tilfælde af manglende eller ufuldstændig fornuftighedskontrol af inddata, kunne medføre lammelsesangreb (denial of service) eller udførelse af vilkårlig kode, hvis en misdannet TGA-, Sun- eller PSD-fil blev behandlet.

Opdateringen retter også visuelle artefakter, når der køres -sharpen på CMYK-billeder (ingen sikkerhedsindvirkning, men udsendes sammen med sikkerhedsopdateringen efter aftale med Debians ansvarlige for den stabile udgave, da det er en regression i jessie sammenlignet med wheezy).

I den stabile distribution (jessie), er disse problemer rettet i version 8:6.8.9.9-5+deb8u8.

I den kommende stabile distribution (stretch), er disse problemer rettet i version 8:6.9.7.4+dfsg-2.

I den ustabile distribution (sid), er disse problemer rettet i version 8:6.9.7.4+dfsg-2.

Vi anbefaler at du opgraderer dine imagemagick-pakker.