Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3746-1 graphicsmagick

Debians sikkerhedsbulletin

DSA-3746-1 graphicsmagick -- sikkerhedsopdatering

Rapporteret den:

24. dec 2016

Berørte pakker:

graphicsmagick

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 814732, Fejl 825800, Fejl 847055.
I Mitres CVE-ordbog: CVE-2015-8808, CVE-2016-2317, CVE-2016-2318, CVE-2016-3714, CVE-2016-3715, CVE-2016-5118, CVE-2016-5240, CVE-2016-7800, CVE-2016-7996, CVE-2016-7997, CVE-2016-8682, CVE-2016-8683, CVE-2016-8684, CVE-2016-9830.

Yderligere oplysninger:

Flere sårbarheder er opdaget i GraphicsMagick, en samling af værktøjer til billedbehandling, hvilke kunne forårsage lammelsesangreb (denial of service), fjernsletning af filer og fjernudførelse af kommandoer.

Denne sikkerhedsopdatering fjerner den komplette understøttelse af PLT/Gnuplot-dekoderen, for at forhindre Gnuplot-shell-baserede shellsårbarheder for at rette sårbarheden CVE-2016-3714.

Det udokumenterede magiske præfiks TMP fjerner ikke længere parameterfilen efter den er blevet læst, for at rette sårbarheden CVE-2016-3715. Da TMP-funktionaliteten oprindelig blev implementeret, tilføjede GraphicsMagick et undersystem til håndtering af midlertidige filer, hvilket sikrede at midlertidige filer blev fjernet, så denne funktionalitet er ikke nødvendig.

Fjerner understøttelse af læsning af inddata fra en shellkommando, eller skrivning af uddata til en shellkommando, ved at det specificerede filnavn (indeholdende kommandoen) får en | præfiks, for at rette sårbarheden CVE-2016-5118.

• CVE-2015-8808

  Gustavo Grieco opdagede en læsning uden for grænserne i fortolkningen af GIF-filer, hvilket kunne medføre lammelsesangreb.

• CVE-2016-2317

  Gustavo Grieco opdagede et stakbufferoverløb og to heapbufferoverløb ved behandling af SVG-billeder, hvilket kunne medføre lammelsesangreb.

• CVE-2016-2318

  Gustavo Grieco opdagede flere segmenteringsfejl ved behandling af SVG-billeder, hvilket kunne medføre lammelsesangreb.

• CVE-2016-5240

  Gustavo Grieco opdagede et problem med en uendelig løkke, forårsaget af negative stroke-dasharray-parametre ved behandling af SVG-filer, hvilket kunne medføre lammelsesangreb.

• CVE-2016-7800

  Marco Grassi opdagede et underløb uden fortegn førende til heapoverløb ved behandling af 8BIM-chunk ofte hæftet på JPG-filer, hvilket kunne medføre lammelsesangreb.

• CVE-2016-7996

  Moshe Kaplan opdagede at der ikke var nogen kontrol af om det leverede colormap ikke er større end 256 forekomster i WPG-læseren, hvilket kunne medføre lammelsesangreb.

• CVE-2016-7997

  Moshe Kaplan opdagede at en assertion blev kastet for nogle filer i WPG-læseren på grund af en logisk fejl, hvilket kunne medføre lammelsesangreb.

• CVE-2016-8682

  Agostino Sarubbo fra Gentoo opdagede et stakbufferlæsningsoverløb ved læsning af SCT-headeren, hvilket kunne medføre lammelsesangreb.

• CVE-2016-8683

  Agostino Sarubbo fra Gentoo opdagede en hukommelsesallokeringsfejl i PCX-koderen, hvilket kunne medføre lammelsesangreb.

• CVE-2016-8684

  Agostino Sarubbo fra Gentoo opdagede en hukommelsesallokeringsfejl i SGI-koderen, hvilket kunne medføre lammelsesangreb.

• CVE-2016-9830

  Agostino Sarubbo fra Gentoo opdagede en hukommelsesallokeringsfejl i funktionen MagickRealloc(), hvilket kunne medføre lammelsesangreb.

I den stabile distribution (jessie), er disse problemer rettet i version 1.3.20-3+deb8u2.

I distributionen testing (stretch), er disse problemer (med undtagelse af CVE-2016-9830) rettet i version 1.3.25-5.

I den ustabile distribution (sid), er disse problemer rettet i version 1.3.25-6.

Vi anbefaler at du opgraderer dine graphicsmagick-pakker.