Plusieurs vulnérabilités d'ImageMagick corrigées dans Ubuntu
ImageMagick, un programme et une bibliothèque populaires de manipulation d'images, a été exposé à plusieurs vulnérabilités qui pourraient rendre votre système vulnérable à des attaques par déni de service (DoS). L'équipe de sécurité d'Ubuntu a réagi en publiant rapidement des mises à jour de sécurité pour résoudre ces problèmes dans les différentes versions d'Ubuntu. Entrons dans les détails de ces vulnérabilités et de leurs mesures d'atténuation.
Versions d'Ubuntu concernées
Ces vulnérabilités affectent plusieurs versions d'Ubuntu, notamment :
- Ubuntu 22.04 LTS
- Ubuntu 20.04 LTS
- Ubuntu 23.10
- Ubuntu 23.04
- Ubuntu 18.04
- Ubuntu 16.04
Aperçu des vulnérabilités d'ImageMagick
Vulnérabilités dans la gestion de la mémoire (CVE-2022-28463, CVE-2022-32545, CVE-2022-32546, CVE-2022-32547)
Ces vulnérabilités impliquent une mauvaise gestion de la mémoire par ImageMagick dans certaines circonstances. Si un utilisateur est incité à ouvrir un fichier image spécialement conçu, des attaquants peuvent exploiter ces failles pour provoquer un déni de service ou d'autres impacts non spécifiés. Ce problème n'affecte que Ubuntu 20.04 LTS.
Vulnérabilités dans la gestion de la mémoire (CVE-2021-3610, CVE-2023-1906, CVE-2023-3428)
Comme les précédentes, ces vulnérabilités proviennent d'une mauvaise gestion de la mémoire par ImageMagick. L'ouverture d'un fichier image spécifiquement conçu peut conduire à un déni de service ou à d'autres impacts. Ce problème affecte Ubuntu 22.04 LTS, Ubuntu 22.10 et Ubuntu 23.04.
Vulnérabilité du traitement SVG (CVE-2023-1289)
Cette vulnérabilité provient du fait qu'ImageMagick traite incorrectement certaines valeurs lors du traitement des fichiers SVG. En incitant un utilisateur à ouvrir un fichier SVG spécialement conçu, les attaquants peuvent planter l'application et provoquer un déni de service. Ce problème affecte Ubuntu 20.04 LTS, Ubuntu 22.04 LTS, Ubuntu 22.10, et Ubuntu 23.04.
Vulnérabilité dans la gestion de la mémoire (CVE-2023-3195)
La mauvaise gestion de la mémoire par ImageMagick dans certaines circonstances, en particulier lors du traitement de fichiers TIFF, présente un risque. L'ouverture d'un fichier TIFF mal conçu peut conduire à un déni de service ou à d'autres impacts non spécifiés. Cette vulnérabilité affecte Ubuntu 22.04 LTS, Ubuntu 22.10 et Ubuntu 23.04.
Vulnérabilité générale des fichiers images (CVE-2023-34151)
Enfin, un autre problème de gestion de la mémoire dans ImageMagick pourrait être exploité si un utilisateur ouvre un fichier image manipulé. Cela pourrait entraîner un déni de service ou d'autres impacts non spécifiés. Cette vulnérabilité affecte toutes les versions d'Ubuntu mentionnées précédemment.
D'autres vulnérabilités ont été corrigées dans cette mise à jour de sécurité, que vous pouvez trouver sur l'avis de sécurité d'Ubuntu.
Rester en sécurité : Mesures essentielles
Heureusement, l'équipe de sécurité d'Ubuntu a fourni des correctifs de sécurité qui corrigent ces problèmes. Voici ce que vous devez faire pour vous assurer que votre système est protégé :
Mettez à jour Ubuntu : Pour installer les correctifs de sécurité et mettre à jour votre système, exécutez la commande suivante dans votre terminal :
sudo apt update && sudo apt upgrade
Soyez prudent : Évitez d'ouvrir des fichiers images non fiables, surtout s'ils proviennent de sources inconnues.
Support de sécurité étendu : Ubuntu 16.04 et 18.04 ayant atteint leur fin de vie, ils ne reçoivent plus de mises à jour de sécurité sans un abonnement Ubuntu Pro. En revanche, l'Extended Lifecycle Support de TuxCare offre des solutions de sécurité abordables, en fournissant des correctifs de qualité pour cinq ans après la fin de vie. Le prix de l'ELS est de 42,50 $ par an ou de 4,25 $ par mois pour chaque système.
Conclusion
Compte tenu de la gravité de ces vulnérabilités, il est vivement conseillé aux utilisateurs de mettre à jour leurs systèmes avec les derniers correctifs de sécurité fournis par Ubuntu. En outre, la prudence lors de la manipulation de fichiers images provenant de sources non fiables peut atténuer le risque d'exploitation. En restant informés et proactifs, les utilisateurs peuvent aider à protéger leurs systèmes contre les menaces potentielles posées par les vulnérabilités d'ImageMagick.
Source : USN-6200-1