Информация по безопасности / 2016 / Информация о безопасности -- DSA-3591-1 imagemagick

Рекомендация Debian по безопасности

DSA-3591-1 imagemagick -- обновление безопасности

Дата сообщения:

01.06.2016

Затронутые пакеты:

imagemagick

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 825799.
В каталоге Mitre CVE: CVE-2016-5118.

Более подробная информация:

Боб Фрищенхан из проекта GraphicsMagick обнаружил уязвимость, приводящую к инъекции команды в ImageMagick, наборе программ для работы с изображениями. Злоумышленник, имеющий контроль над входным изображением или именем входного файла может выполнить произвольные команды с правами пользователя, запустившего приложение.

В Данном обновлении устранена возможность использования канала (|) в именах файлах при взаимодействии с imagemagick.

Важно, чтобы вы обновили пакет libmagickcore-6.q16-2, а не просто пакет imagemagick. Приложения, использующие libmagickcore-6.q16-2 могут быть подвержены описанной проблеме, поэтому их следует перезапустить после установки обновления.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 8:6.8.9.9-5+deb8u3.

Рекомендуется обновить пакеты imagemagick.