Bulletin d'alerte Debian

DLA-500-1 imagemagick -- Mise à jour de sécurité pour LTS

Date du rapport :
2 juin 2016
Paquets concernés :
imagemagick
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 825799.
Dans le dictionnaire CVE du Mitre : CVE-2016-5118.
Plus de précisions :

Bob Friesenhahn du projet GraphicsMagick a découvert une vulnérabilité d'injection de commande dans ImageMagick, un ensemble de programmes pour manipuler des images. Un attaquant doté du contrôle sur l'image d'entrée ou sur le nom de fichier d'entrée peut exécuter des commandes arbitraires avec les privilèges de l'utilisateur exécutant l'application.

Cette mise à jour retire la possibilité d'utiliser un tuyau (|) dans les noms de fichiers devant interagir avec imagemagick.

La mise à niveau de libmagickcore5 est importante et pas seulement celle du paquet imagemagick. Les applications qui utilisent libmagickcore5 pourraient aussi être affectées et doivent être redémarrées après la mise à niveau.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 8:6.7.7.10-5+deb7u6.

Nous vous recommandons de mettre à jour vos paquets imagemagick.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.