Debians sikkerhedsbulletin

DSA-4481-1 ruby-mini-magick -- sikkerhedsopdatering

Rapporteret den:
13. jul 2019
Berørte pakker:
ruby-mini-magick
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 931932.
I Mitres CVE-ordbog: CVE-2019-13574.
Yderligere oplysninger:

Harsh Jaiswal opdagede en sårbarhed i forbindelse med udførelse af en fjern shell i ruby-mini-magick, et Ruby-bibliotek der laver en wrapper omkring ImageMagick eller GraphicsMagick, som var udnytbar når der blev benyttet MiniMagick::Image.open med særligt fremstillede URL'er, der kommer fra fornuftighedskontrollede brugerinddata.

I den gamle stabile distribution (stretch), er dette problem rettet i version 4.5.1-1+deb9u1.

I den stabile distribution (buster), er dette problem rettet i version 4.9.2-1+deb10u1.

Vi anbefaler at du opgraderer dine ruby-mini-magick-pakker.

For detaljeret sikkerhedsstatus vedrørende ruby-mini-magick, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/ruby-mini-magick