Aviso de seguridad de Debian

DSA-4481-1 ruby-mini-magick -- actualización de seguridad

Fecha del informe:
13 de jul de 2019
Paquetes afectados:
ruby-mini-magick
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 931932.
En el diccionario CVE de Mitre: CVE-2019-13574.
Información adicional:

Harsh Jaiswal descubrió una vulnerabilidad de ejecución remota de intérprete de órdenes («remote shell execution») en ruby-mini-magick, una biblioteca Ruby que proporciona un adaptador («wrapper») para ImageMagick o para GraphicsMagick. La vulnerabilidad se puede explotar cuando se utiliza MiniMagick::Image.open con URL preparadas de una manera determinada y procedentes de entradas de usuario no saneadas.

Para la distribución «antigua estable» (stretch), este problema se ha corregido en la versión 4.5.1-1+deb9u1.

Para la distribución «estable» (buster), este problema se ha corregido en la versión 4.9.2-1+deb10u1.

Le recomendamos que actualice los paquetes de ruby-mini-magick.

Para información detallada sobre el estado de seguridad de ruby-mini-magick, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/ruby-mini-magick