Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3591-1 imagemagick

Debians sikkerhedsbulletin

DSA-3591-1 imagemagick -- sikkerhedsopdatering

Rapporteret den:

1. jun 2016

Berørte pakker:

imagemagick

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 825799.
I Mitres CVE-ordbog: CVE-2016-5118.

Yderligere oplysninger:

Bob Friesenhahn fra GraphicsMagick-projektet, opdagede en kommandoindsprøjtningssårbarhed i ImageMagick, en programsamling til billedbehandling. En angriber med kontrol over inddatabillede eller inddatafilnavnet, kunne udføre vilkårlig kommandoer med rettighederne hørende til brugeren, der kører applikationen.

Opdateringen fjerner muligheden for at anvende pipe (|) i filnavne til at interagere med imagemagick.

Det er vigtigt at man opgraderer libmagickcore-6.q16-2 og ikke kun imagemagick-pakken. Applikationer, som anvender libmagickcore-6.q16-2, kan også være påvirkede, og skal genstartes efter opgraderingen.

I den stabile distribution (jessie), er dette problem rettet i version 8:6.8.9.9-5+deb8u3.

Vi anbefaler at du opgraderer dine imagemagick-pakker.