Рекомендация Debian по безопасности

DSA-4481-1 ruby-mini-magick -- обновление безопасности

Дата сообщения:
13.07.2019
Затронутые пакеты:
ruby-mini-magick
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 931932.
В каталоге Mitre CVE: CVE-2019-13574.
Более подробная информация:

Харш Джайсвол обнаружил возможность удалённого выполнения команд командной оболочки в ruby-mini-magick, Ruby-библиотеке, предоставляющей обёртку вокруг ImageMagick или GraphicsMagick. Данная уязвимость может использоваться при выполнении MiniMagick::Image.open со специально сформированными URL, переданными из неочищенных пользовательских входных данных.

В предыдущем стабильном выпуске (stretch) эта проблема была исправлена в версии 4.5.1-1+deb9u1.

В стабильном выпуске (buster) эта проблема была исправлена в версии 4.9.2-1+deb10u1.

Рекомендуется обновить пакеты ruby-mini-magick.

С подробным статусом поддержки безопасности ruby-mini-magick можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/ruby-mini-magick