DSA-3580-1 ImageMagick - actualización de seguridad

1 envío / 0 nuevos
#1 Mié, 18/05/2016 - 05:58
moonwatcher
Imagen de moonwatcher
Conectado
moderador
se unió: 21/01/16

DSA-3580-1 ImageMagick - actualización de seguridad

Fecha del informe:

16 de de mayo de el año 2016

Paquetes afectados:

ImageMagick

Vulnerable:

Referencias de bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: Bug 823542 .
En el diccionario CVE de Mitre: CVE-2016-3714 , CVE-2016-3715 , CVE-2016-3716 , CVE-2016-3717 , CVE-2.016-3718 .

Más información:

Nikolay Ermishkin del Equipo de Seguridad y Mail.Ru Stewie descubierto varias vulnerabilidades en ImageMagick, un conjunto de programas para la manipulación de imágenes. Estas vulnerabilidades, conocidos colectivamente como ImageTragick, son la consecuencia de la falta de esterilización de entrada no es de confianza. Un atacante con el control en la entrada de la imagen podría, con los privilegios del usuario que ejecuta la aplicación, la ejecución de código ( CVE- 2016-3714 ), hacer peticiones HTTP GET o FTP ( CVE-2016-3718 ) o eliminar ( CVE-2016 -3715 ), movimiento ( CVE-2016 hasta 3716 ), o leer ( CVE-2016-3717 ) archivos locales.

Estas vulnerabilidades son particularmente crítico si Imagemagick procesa las imágenes procedentes de las ubicaciones remotas, como parte de un servicio web.

La actualización deshabilita los codificadores vulnerables (EFÍMERO, URL, MVG, MSL, y PLT) y lee indirecta a través de archivo /etc/ImageMagick-6/policy.xml. Además, se introduce prevenciones adicionales, incluyendo algunos de desinfección de archivos de entrada en http / https delegados, la remoción completa de PLT / Gnuplot decodificador, y la necesidad de una referencia explícita en el nombre de archivo para los codificadores inseguros.

Para la distribución estable (Jessie), estos problemas se han corregido en la versión 8: 6.8.9.9-5 + deb8u2.

Le recomendamos que actualice el paquete ImageMagick.

Original en inglés: https://www.debian.org/security/2016/dsa-3580