1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
|
#use wml::debian::translation-check translation="93f9ec29a9d79391f858712be49e7f64f2d395a3" mindelta="1"
<define-tag description>säkerhetsuppdatering</define-tag>
<define-tag moreinfo>
<p>Nikolay Ermishkin från Mail.Ru's säkerhetsgrupp och Stewie upptäckte
flera sårbarheter i ImageMagick, en programuppsättning för bildmanipulering.
Dessa sårbarheter, kollektivt kända som ImageTragick,
är konsekvensen av bristande rengörning av opålitlig indata. En angripare
med kontroll på bildindatan kunde, med samma rättigheter som användaren som
kör applikationen, exekvera kod
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3714">CVE-2016-3714</a>), göra HTTP
GET- eller FTP-förfrågningar (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3718">CVE-2016-3718</a>),
ta bort (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3715">CVE-2016-3715</a>), flytta
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3716">CVE-2016-3716</a>), eller läsa
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3717">CVE-2016-3717</a>) lokala filer.</p>
<p>Dessa sårbarheter är särskilt kritiska om Imagemagick behandlar bilder
som kommer från distansparter, så som en del av en webtjänst.</p>
<p>Uppdateringen inaktiverar de sårbara bildkodarna (EPHEMERAL, URL, MVG, MSL,
och PLT) och indirekta läsningar via filen /etc/ImageMagick-6/policy.xml.
Utöver detta introducerar vi extra förebyggelse inklusive rengörning av
indata filnamn i http/https-delegat, komplett remotion av PLT/Gnuplot-dekodern,
och behovet av explicit referens i filnamnen gällande de osäkra kodarna.</p>
<p>För den stabila utgåvan (Jessie) har dessa problem rättats i
version 8:6.8.9.9-5+deb8u2.</p>
<p>Vi rekommenderar att ni uppgraderar era imagemagick-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3580.data"
|
