此次安全漏洞更新包括iceweasel、libtasn1-6、mercurial、ikiwiki、jansson、libidn、xerces-c和imagemagick更新。
漏洞概述
DSA-3559-1 iceweasel — 安全更新
安全数据库详细信息:
- 在Debian版本的Mozilla Firefox web浏览器中发现多个安全问题:多个内存安全性错误及缓冲区溢出可能致使执行任意代码或拒绝服务。
DSA-3568-1 libtasn1-6 — 安全更新
安全数据库详细信息:
- CVE-2016-4008:在ASN.1结构管理库中,不能够正确地处理某些畸形的DER证书。远程攻击者可以利用这个漏洞的造成拒绝服务。
DSA-3570-1 mercurial— 安全更新
安全数据库详细信息:
- CVE-2016-3105:在分布式版本控制系统mercurial中,当使用特定的git仓库名称进行转换时,存在任意代码执行的漏洞。这个缺陷会影响自动代码转换服务,允许任意存储库名称。
DSA-3571-1 ikiwiki— 安全更新
安全数据库详细信息:
- CVE-2016-4561:在Ikiwiki(一个wiki编译器)中发现一个跨站点脚本攻击漏洞。此更新对于在img插件中使用imagemagick进行了加固。
DSA-3577-1 jansson— 安全更新
安全数据库详细信息:
- CVE-2016-4425:jansson,一个实现了编码、解码和处理JSON数据的C库,在此库没有限制递归深度解析JSON数组和对象时,若使用了精心制作JSON数据,这可能允许远程攻击者造成拒绝服务(崩渍)通过堆栈疲惫。
DSA-3578-1 libidn— 安全更新
安全数据库详细信息:
- CVE-2015-2059:libidn,国际化域名GNU库,没有正确处理无效的UTF-8编码的输入,导致一个越界读取的安全漏洞。这能够通过使用libidn的库的应用,允许攻击者使用lididn泄漏敏感信息。
DSA-3579-1 xerces-c — 安全更新
安全数据库详细信息:
- CVE-2016-2099:在xerces-c(一个XML解析的C++库)中发现一个使用后没有释放资源的漏洞。
DSA-3580-1 imagemagick — 安全更新
安全数据库详细信息:
- 在ImageMagick(一个图像处理的程序套件)中发现了几个漏洞。这些漏洞,统称为ImageTragick,是缺乏对不信任的输入进行处理的结果。攻击者通过对图像输入的控制,使用用户的权限运行应用程序,执行代码,生成http或ftp请求,或删除,移动,读取本地文件。这些漏洞威胁是特殊的关键的,如果Imagemagick处理来自远程的图像处理,例如web服务的一部分。
修复情况
iceweasel 的安全漏洞在45.1.0esr-1版本的firefox-esr源包及46.0-1版本的firefox源包中版本中进行了修复;libtasn1-6的安全漏洞在4.8-1版本中进行了修复;
mercurial的安全漏洞在3.8.1-1版本中进行了修复;ikiwiki的安全漏洞在3.20160506版本中进行了修复;
jansson的安全漏洞已经在2.7-5版本中进行了修复;libidn的安全漏洞已经在1.31-1版本中进行了修复;
xerces-c的安全漏洞已经在3.1.3+debian-2版本中进行了修复;imagemagick的安全漏洞已经在8:6.8.9.9-10+d15u1版本中进行了修复。
请各位尽快更新系统以获取漏洞修复补丁。
马上去更新了