安全更新（DSA-3591-1 &DSA-3592-1 &DSA-3594-1 &DSA-3595-1 &DSA-3597-1 &DSA-3598-1 &DSA-3599-1 &DSA-3600-1 &DSA-3601-1 &DSA-3604-1 &DSA-3606-1）

此次安全漏洞更新包括imagemagick、nginx、chromium-browser、mariadb-10.0、expat、vlc、p7zip、firefox-esr、icedove、drupal7和libpdfbox-java更新。

 

漏洞概述

DSA-3591-1 imagemagick — 安全更新

安全数据库详细信息：

在ImageMagick中发现命令注入漏洞。攻击者在输入的image或输入文件的控制可以使用用户运行应用的权限能力执行任意命令。

 

DSA-3592-1 nginx — 安全更新

安全数据库详细信息：

在Nginx负责保存客户端请求体到一个临时文件的代码中发现一个空指针的引用，可能会导致拒绝服务：畸形的请求能够使工作进程崩溃。

 

DSA-3594-1 chromium-browser — 安全更新

安全数据库详细信息：

• CVE-2016-1696：在绑定到扩展中发现一个跨域绕过漏洞；
• CVE-2016-1697：在Blink/Webkit中发现一个跨域绕过漏洞；
• CVE-2016-1698：一个信息泄漏的漏洞；
• CVE-2016-1699：在开发者工具特性中发现一个问题；
• CVE-2016-1700：在扩展中发现一个使用后未释放的漏洞；
• CVE-2016-1701：在自动填充特性中发现一个使用后未释放资源的问题；
• CVE-2016-1702：在skia库中发现一个越界读的问题。

 

DSA-3595-1 mariadb-10.0 — 安全更新

安全数据库详细信息：

在MariaDB数据库服务中发现几个问题。这些漏洞通过升级MariaDB至最新上游版本10.0.25。

 

DSA-3597-1 expat — 安全更新

安全数据库详细信息：在Expat（解析XML的C语言的库）中发现两个问题；

• CVE-2012-6702：使用XML_Parse函数种子随机数发生器产生重复输出；
• CVE-2016-5300：它是用于CVE-2012-0876的一个不完整的解决方案的产物。不足的种子随机数发生器允许攻击者通过一个精心制作的XML文件来导致服务（CPU的消耗）的拒绝。

 

DSA-3598-1 vlc— 安全更新

安全数据库详细信息：

在VLC的ADPCM解码器中缺少对输入的处理，在一个恶意媒体文件被打开的情况下可以执行任意代码。

 

DSA-3599-1 p7zip— 安全更新

安全数据库详细信息：

在p7zip（高压缩比例的7zr文件框架）中的CInArchive::ReadFileItem方法中发现一个越界读取的漏洞。如果一个精心制作的UDF压缩文件被处理时，远程攻击者能够使用此漏洞造成拒绝服务，或使用运行p7zip的用户的权限能力执行任意的代码。

 

DSA-3600-1 firefox-esr — 安全更新

安全数据库详细信息：

在Mozilla Firefox web浏览器中发现了多个安全问题：多个内存安全的错误，缓冲区溢出和一些其它的实现的错误，这些问题可能导致能够执行任意代码或欺骗。Debian支持的是Firefox的扩展支持发行版(ESR），即iceweasel。支持到38.X系列就结束了，现在重新使用此更新支持到45.X版本及此更新到下一个ESR。

 

DSA-3601-1 icedove— 安全更新

安全数据库详细信息：

在icedove（Mozilla Thunderbird邮件客户端的Debian版本）中发现多个安全问题：多个内存安全错误，可能造成执行任意代码或拒绝服务。Debian对于Thunderbird的扩展支持版本(ESR)。原来支持到38.X系列就终止了，现在重新开启更新到45.X发行版本。

 

DSA-3604-1 drupal7 — 安全更新

安全数据库详细信息：

一个特权升级漏洞在Drupal内容管理框架中的用户模块中发现。更多信息，请参阅上游公告：https://www.drupal.org/SA-CORE-2016-002

 

DSA-3606-1 libpdfbox-java— 安全更新

安全数据库详细信息：

在pdfbox（java版的PDF的库）库中发现一个XML外部实体容易受到攻击的问题。

 

修复情况

imagemagick的安全漏洞在8:6.8.9.9-5+deb8u3版本中进行了修复；nginx的安全漏洞在1.10.1-1版本中进行了修复；chromium-browser 的安全漏洞在51.0.2704.79-1以上版本中进行了修复，mariadb-10.0的安全漏洞在mariadb-10.0 (10.0.25-1)以上版本中进行了修复，expat的安全漏洞在2.1.1-3以上版本中进行了修复，vlc的安全漏洞在2.2.4-1以上版本中进行了修复，p7zip的安全漏洞在15.14.1+dfsg-2以上版本中进行了修复，firefox-esr的安全漏洞在45.2.0esr-1以上版本中进行了修复，icedove的安全漏洞在1:45.1.0-1以上版本中进行了修复，drupal7的安全漏洞在7.44-1以上版本中进行了修复，libpdfbox-java的安全漏洞在1:1.8.12-1以上版本中进行了修复。

请各位尽快更新系统以获取漏洞修复补丁。