ГлавнаяБаза уязвимостей БДУ → BDU:2021-05612
4.3высокая

BDU:2021-05612 (CVE-2016-3718)

Уязвимость реализации HTTP- или FTP-протокола консольного графического редактора ImageMagick, позволяющая нарушителю осуществить SSRF-атаку
Опубликовано: 2021-11-25
Описание

Уязвимость реализации HTTP- или FTP-протокола консольного графического редактора ImageMagick связана с недостаточной проверкой подлинности выполняемых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить SSRF-атаку

Затрагиваемое ПО и версии
openSUSE (13.2)Debian GNU/Linux (1.2)ImageMagick (до 6.9.3-10)ImageMagick (от 7.0 до 7.0.1-1)SUSE Linux Enterprise Debuginfo (11 SP2)Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (12.04)OpenSUSE Leap (42.1)Slackware (14.0)Slackware (14.1)Solaris (10)Solaris (11.3)Suse Linux Enterprise Server (11 SP4)SUSE Linux Enterprise Software Development Kit (11 SP4)Ubuntu (15.10)Oracle Linux (7)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Suse Linux Enterprise Server (11 SP3-LTSS)Suse Linux Enterprise Desktop (12 SP1)Suse Linux Enterprise Server (11 SP2-LTSS)Suse Linux Enterprise Server (12 SP1)SUSE Linux Enterprise Software Development Kit (12 SP1)SUSE Manager (2.1)SUSE Manager Proxy (2.1)Oracle Linux (6)Suse Linux Enterprise Desktop (12)SUSE Linux Enterprise Workstation Extension (12 SP1)SUSE Linux Enterprise Workstation Extension (12)
Способ устранения

Использование рекомендаций:
Для ImageMagick:
https://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588
https://www.imagemagick.org/script/changelog.php

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2016-05/msg00024.html
http://lists.opensuse.org/opensuse-security-announce/2016-05/msg00025.html
http://lists.opensuse.org/opensuse-security-announce/2016-05/msg00028.html
http://lists.opensuse.org/opensuse-security-announce/2016-05/msg00032.html
http://lists.opensuse.org/opensuse-security-announce/2016-05/msg00051.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2016-3718

Для Debian GNU/Linux:
http://www.debian.org/security/2016/dsa-3580
https://lists.debian.org/debian-lts-announce/2018/06/msg00009.html

Для Slackware:
http://www.slackware.com/security/viewer.php?l=slackware-security&y=2016&m=slackware-security.440568

Для программных продуктов Oracle:
http://www.oracle.com/technetwork/topics/security/bulletinjul2016-3090568.html
http://www.oracle.com/technetwork/topics/security/linuxbulletinapr2016-2952096.html

Для Ubuntu:
http://www.ubuntu.com/usn/USN-2990-1

Оценка CVSS
Балл4.3 — высокая опасность
Источники и патчи
http://git.imagemagick.org/repos/ImageMagick/blob/a01518e08c840577cabd7d3ff291a9ba735f7276/ChangeLoghttp://lists.opensuse.org/opensuse-security-announce/2016-05/msg00024.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-05/msg00025.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-05/msg00028.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-05/msg00032.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-05/msg00051.htmlhttps://access.redhat.com/security/cve/cve-2016-3718http://www.debian.org/security/2016/dsa-3580
Проверьте безопасность своего сайта и почты → Полная проверка домена