1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
|
#use wml::debian::translation-check translation="93f9ec29a9d79391f858712be49e7f64f2d395a3" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Nikolay Ermishkin fra Mail.Ru Security Team og Stewie opdagede flere
sårbarheder i ImageMagick, en programsamling til billedbehandling.
Sårbarhederne, kollektivt kendt som ImageTragick, er konsekvensen af manglende
fornuftighedskontrol inddata, der ikke er tillid til. En angriber med kontrol
over billedinddata kunne, med rettighederne hørende til brugeren, som anvender
applikationen, udføre kode
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3714">CVE-2016-3714</a>),
foretage HTTP GET- eller FTP-forespørgsler
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3718">CVE-2016-3718</a>),
eller slette
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3715">CVE-2016-3715</a>),
flytte
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3716">CVE-2016-3716</a>)
eller læse
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3717">CVE-2016-3717</a>)
lokale filer.</p>
<p>Sårbarhederne er særligt kritiske hvis Imagemagick behandler billeder fra
fjerne steder så som en del af en webservice.</p>
<p>Opdateringen deaktiverer de sårbare kodere (EPHEMERAL, URL, MVG, MSL og PLT)
samt indirekte læsninger gennem filen /etc/ImageMagick-6/policy.xml. Desuden
indfører vi ekstra forebyggelse, herunder nogen fornuftighedskontrol af
inddatafilnavne i http-/https-delegater, komplet remotion af
PLT/Gnuplot-dekoderne og behov for eksplicit reference i filnavnet hørende til
usikre kodere.</p>
<p>I den stabile distribution (jessie), er disse problemer rettet i
version 8:6.8.9.9-5+deb8u2.</p>
<p>Vi anbefaler at du opgraderer dine imagemagick-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3580.data"
|