Bulletin d'alerte Debian

DLA-502-1 graphicsmagick -- Mise à jour de sécurité pour LTS

Date du rapport :
2 juin 2016
Paquets concernés :
graphicsmagick
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 825800.
Dans le dictionnaire CVE du Mitre : CVE-2016-5118.
Plus de précisions :

Bob Friesenhahn a découvert a découvert une vulnérabilité d'injection de commande dans ImageMagick, un ensemble de programmes pour manipuler des images. Un attaquant doté du contrôle sur l'image d'entrée ou sur le nom de fichier d'entrée peut exécuter des commandes arbitraires avec les privilèges de l'utilisateur exécutant l'application.

Cette mise à jour retire la possibilité d'utiliser un tuyau (|) dans les noms de fichiers devant interagir avec imagemagick.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.3.16-1.1+deb7u2.

Nous vous recommandons de mettre à jour vos paquets graphicsmagick.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS