Bulletin d'alerte Debian

DSA-4481-1 ruby-mini-magick -- Mise à jour de sécurité

Date du rapport :
13 juillet 2019
Paquets concernés :
ruby-mini-magick
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 931932.
Dans le dictionnaire CVE du Mitre : CVE-2019-13574.
Plus de précisions :

Harsh Jaiswal a découvert une vulnérabilité d'exécution de commandes d'interpréteur à distance dans ruby-mini-magick, une bibliothèque Ruby qui fournit une enveloppe autour d'ImageMagick ou de GraphicsMagick, exploitable lors de l'utilisation de MiniMagick::Image.open avec des URL contrefaites pour l'occasion provenant d'une entrée utilisateur non nettoyée.

Pour la distribution oldstable (Stretch), ce problème a été corrigé dans la version 4.5.1-1+deb9u1.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 4.9.2-1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets ruby-mini-magick.

Pour disposer d'un état détaillé sur la sécurité de ruby-mini-magick, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/ruby-mini-magick.