Информация по безопасности / 2016 / Информация о безопасности -- DSA-3746-1 graphicsmagick

Рекомендация Debian по безопасности

DSA-3746-1 graphicsmagick -- обновление безопасности

Дата сообщения:

24.12.2016

Затронутые пакеты:

graphicsmagick

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 814732, Ошибка 825800, Ошибка 847055.
В каталоге Mitre CVE: CVE-2015-8808, CVE-2016-2317, CVE-2016-2318, CVE-2016-3714, CVE-2016-3715, CVE-2016-5118, CVE-2016-5240, CVE-2016-7800, CVE-2016-7996, CVE-2016-7997, CVE-2016-8682, CVE-2016-8683, CVE-2016-8684, CVE-2016-9830.

Более подробная информация:

В GraphicsMagick, наборе инструментов для обработки изображений, было обнаружено несколько уязвимостей, которые могут вызывать отказ в обслуживании, удалённое удаление файлов и удалённое выполнение команд.

В данном обновлении безопасности была удалена полная поддержка декодера PLT/Gnuplot с целью предотвращения работы эксплоитов на основе командной оболочки Gnuplot, что исправляет уязвимость CVE-2016-3714.

Неописанный в документации magick-префикс TMP более не удаляет файл, переданный в виде аргумента, после его прочтения, что исправляет уязвимость CVE-2016-3715. Поскольку функция TMP была изначально реализована, в GraphicsMagick была добавлена подсистема управления временными файлами, которая гарантирует, что временные файлы удаляются, поэтому указанная функция более не требуется.

Удалена поддержка чтения входных данных из оболочки командной строки, а также запись выходных данных в оболочку командной строки путём указания имени файла (содержащего команду) с символом канала, '|', что исправляет уязвимость CVE-2016-5118.

• CVE-2015-8808

  Густаво Грико обнаружил чтение за пределами выделенного буфера памяти при выполнении грамматического разбора файлов в формате GIF, которое может вызывать отказ в обслуживании.

• CVE-2016-2317

  Густаво Грико обнаружил переполнение буфера и два переполнения динамической памяти, возникающих в процессе обработки изображений в формате SVG, что может вызывать отказ в обслуживании.

• CVE-2016-2318

  Густаво Грико обнаружил несколько ошибок сегментирования, возникающих в ходе обработки изображений в формате SVG, что может вызывать отказ в обслуживании.

• CVE-2016-5240

  Густаво Грико обнаружил бесконечный цикл, возникающий из-за отрицательных аргументов stroke-dasharray при выполнении грамматического разбора файлов в формате SVG, что может вызывать отказ в обслуживании.

• CVE-2016-7800

  Марко Грасси обнаружил отрицательное переполнение беззнаковых чисел, приводящее к переполнению динамической памяти, которое возникает при выполнении грамматического разбора фрагмента 8BIM, часто прикрепляемого к файлам в формате JPG, что может вызывать отказ в обслуживании.

• CVE-2016-7996

  Моше Каплан обнаружил, что проверка того, что переданная модулю чтения WPG палитра не превышает 256 записей, отсутствует, что может вызывать отказ в обслуживании.

• CVE-2016-7997

  Моше Каплан обнаружил, что для некоторых файлов в модуле чтения WPG из-за логической ошибки срабатывает утверждение, что может вызывать отказ в обслуживании.

• CVE-2016-8682

  Агостино Сарубо из Gentoo обнаружил переполнение стека, возникающее при чтении заголовка SCT, что может вызывать отказ в обслуживании.

• CVE-2016-8683

  Агостино Сарубо из Gentoo обнаружил ошибку выделения памяти в коде преобразования PCX, которая может вызывать отказ в обслуживании.

• CVE-2016-8684

  Агостино Сарубо из Gentoo обнаружил ошибку выделения памяти в коде преобразования SGI, которая может вызывать отказ в обслуживании.

• CVE-2016-9830

  Агостино Сарубо из Gentoo обнаружил ошибку выделения памяти в функции MagickRealloc(), которая может вызывать отказ в обслуживании.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.3.20-3+deb8u2.

В тестируемом выпуске (stretch) эти проблемы (кроме CVE-2016-9830) были исправлены в версии 1.3.25-5.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.3.25-6.

Рекомендуется обновить пакеты graphicsmagick.