Kwetsbaarheden verholpen in ImageMagick

Er zijn een aantal kwetsbaarheden verholpen in de grafische software-suite en software bibliotheek ImageMagick.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in ImageMagick
Advisory ID     : NCSC-2016-0866
Versie          : 1.00
Kans            : medium
CVE ID          : 
                  (http://cve.mitre.org/cve/)
Schade          : medium
                  Denial-of-Service (DoS)
                  Remote code execution (Gebruikersrechten)
Uitgiftedatum   : 20160928
Toepassing      : ImageMagick
Versie(s)       : <8:6.8.9.9-5+deb8u5
Platform(s)     : Debian Linux

Samenvatting
   Er zijn een aantal kwetsbaarheden verholpen in de grafische
   software-suite en software bibliotheek ImageMagick.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken om een
   Denial-of-Service te veroorzaken of willekeurige code uitvoeren met
   de rechten van de ingelogde gebruiker.

Beschrijving
   In de software-suite en software bibliotheek ImageMagick zijn
   verschillende kwetsbaarheden gevonden die door updates worden
   verholpen. 
   
   De kwetsbaarheden bevinden zich in de wijze waarop ImageMagick de
   invoer van parameters controleert en de wijze waarop ImageMagick
   geheugen beheert. Uitbuiting van de kwetsbaarheden kan leiden tot
   een Denial-of-Service of tot het uitvoeren van willekeurige code met
   de rechten van de ingelogde gebruiker. 
   
   De kwetsbaarheden kunnen worden uitgebuit door malafide SIXEL, PDB,
   MAP, SGI, TIFF of CALS bestanden te laten verwerken door het
   softwarepakket.

Mogelijke oplossingen
   -= Debian =-
   Debian heeft updates van imagemagick beschikbaar gesteld voor Debian
   8.0 (Jessie) om de kwetsbaarheden te verhelpen. U kunt de aangepaste
   packages installeren door gebruik te maken van 'apt-get update' en
   'apt-get upgrade'. Meer informatie kunt u vinden op onderstaande
   pagina:
   
   https://www.debian.org/security/2016/dsa-3675

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8

wsDVAwUBV+vcxjeMwlgPRdL0AQjg2Av/UxU/VFhH1E0WdrvhhqTtotMfalDSdsa1
4CYNaagyQt5LwQLIUewDNmuPO3B+UWkE1dGkOlzOZmiTQ0UlxsQuNHG5NSwuCi5K
jZF970OJju5uRh+9PUQJUeI7qBdiUavFP2l3cqFonAJ8/kmbsNnVZoNp8zfPEiNf
ah/nsLvMm8hoZlHWeYXblXQkexOrUXtlhsCWDu+g5ZZhFWhgGDJfZOVS8Cs0G7ce
r9XZjcE+TOJfjOfiaMuir0rTbV6MwWeJ3xj06WoELwBH2YmuFmIUU8woY/QNJYdc
G1nA9m6IkaEbSrkHNVkYZDB6oIFTqN7ODAmmTIOM6W/2/8FVZu9OhCqsgt6u0iw9
aMjvVjkRxwsjCfxQNN/r7ZyvtXt5haWwUyeF+c3c/rXRm0ogalSaOahI+z2U8t67
udLaqD/42IDpDMX4FO/dsTwpr7hEVkQ75OPGcGSDanlDxnS+hPsOgdq38c8ejmNd
p8g4snEb1aJh4dlqdaXlYJV36vJatG2U
=aS5c
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig