path: root/russian/security/2016/dsa-3580.wml

#use wml::debian::translation-check translation="93f9ec29a9d79391f858712be49e7f64f2d395a3" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>Николай Ермишкин из команды безопасности Mail.Ru и Стьюи обнаружили
несколько уязвимостей в ImageMagick, наборе программ для работы с
изображениями. Эти уязвимости, которые вместе известны под названием ImageTragick,
являются следствиями отсутствия очистки недоверенных входных данных. Злоумышленник,
имеющий возможность менять входное изображение, может с правами пользователя, запустившего
приложение, выполнять код
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3714">CVE-2016-3714</a>), делать HTTP-запросы
GET или FTP-запросы (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3718">CVE-2016-3718</a>),
удалять (<a href="https://security-tracker.debian.org/tracker/CVE-2016-3715">CVE-2016-3715</a>), перемещать
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3716">CVE-2016-3716</a>) или считывать
(<a href="https://security-tracker.debian.org/tracker/CVE-2016-3717">CVE-2016-3717</a>) локальные файлы.</p>

<p>Эти уязвимости особенно критичны в том случае, если Imagemagick обрабатывает
изображения, исходящие от удалённых сторон, таких как веб-службы.</p>

<p>Данное обновление отключает уязвимые преобразователи (EPHEMERAL, URL, MVG, MSL и
PLT) и непрямое чтение в файле /etc/ImageMagick-6/policy.xml. Кроме
того, мы добавили дополнительные ограничения, включая некоторую очистку имён
входящих файлов в делегировании http/https, полное перемещение декодера
PLT/Gnuplot, а также необходимость явной ссылки в имени файла для
небезопасных преобразователей.</p>

<p>В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 8:6.8.9.9-5+deb8u2.</p>

<p>Рекомендуется обновить пакеты imagemagick.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2016/dsa-3580.data"
# $Id$