Säkerhetsbulletin från Debian
DSA-3580-1 imagemagick -- säkerhetsuppdatering
- Rapporterat den:
- 2016-05-16
- Berörda paket:
- imagemagick
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 823542.
I Mitres CVE-förteckning: CVE-2016-3714, CVE-2016-3715, CVE-2016-3716, CVE-2016-3717, CVE-2016-3718. - Ytterligare information:
-
Nikolay Ermishkin från Mail.Ru's säkerhetsgrupp och Stewie upptäckte flera sårbarheter i ImageMagick, en programuppsättning för bildmanipulering. Dessa sårbarheter, kollektivt kända som ImageTragick, är konsekvensen av bristande rengörning av opålitlig indata. En angripare med kontroll på bildindatan kunde, med samma rättigheter som användaren som kör applikationen, exekvera kod (CVE-2016-3714), göra HTTP GET- eller FTP-förfrågningar (CVE-2016-3718), ta bort (CVE-2016-3715), flytta (CVE-2016-3716), eller läsa (CVE-2016-3717) lokala filer.
Dessa sårbarheter är särskilt kritiska om Imagemagick behandlar bilder som kommer från distansparter, så som en del av en webtjänst.
Uppdateringen inaktiverar de sårbara bildkodarna (EPHEMERAL, URL, MVG, MSL, och PLT) och indirekta läsningar via filen /etc/ImageMagick-6/policy.xml. Utöver detta introducerar vi extra förebyggelse inklusive rengörning av indata filnamn i http/https-delegat, komplett remotion av PLT/Gnuplot-dekodern, och behovet av explicit referens i filnamnen gällande de osäkra kodarna.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 8:6.8.9.9-5+deb8u2.
Vi rekommenderar att ni uppgraderar era imagemagick-paket.