SUSE SLED12 / SLES12セキュリティ更新プログラム:ImageMagick(SUSE-SU-2017:3388-1)
critical Nessus プラグイン ID 105409
Language:
概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。説明
このImageMagick用の更新プログラムでは、以下の問題を修正します:- CVE-2017-14989:MagickCore/annotate.cのRenderFreetypeにおけるメモリ解放後使用(use-after-free)はサービス拒否が発生する可能性があります[bsc#1061254]
- CVE-2017-14682:MagickCore/token.cのヒープバッファオーバーフローにおけるGetNextTokenは、サービス拒否が発生する可能性があります[bsc#1060176]
coders/inline.cのWriteINLINEImageでのメモリリークにより、サービス拒否が発生する可能性があります[bsc#1052744]
- CVE-2017-14607:ReadTIFFImagehasに関連する領域外の読み取りの欠陥が、機密である可能性があるメモリを開示する可能性があります[bsc#1059778]
- CVE-2017-11640:coders/tiff.cのWritePTIFImage()のNULLポインターデリファレンス(bsc#1050632)。
- CVE-2017-14342:サービス拒否が発生する可能性のあるReadWPGImageのメモリ枯渇の脆弱性(bsc#1058485)。
- CVE-2017-14341:ReadWPGImage関数の無限ループ(bsc#1058637)。
- CVE-2017-16546:サービス拒否が発生する可能性のあるcoders/wpg.cのReadWPGImage関数の問題(bsc#1067181)。
- CVE-2017-16545:サービス拒否が発生する可能性のある検証の問題の、coders/wpg.cのReadWPGImage関数(bsc#1067184)。
- CVE-2017-16669:リモートの攻撃者が細工されたファイルを介してサービス拒否を引き起こす可能性のあるcoders/wpg.cの問題[bsc#1067409]。
- CVE-2017-14175:サービス拒否が発生する可能性のあるEnd of Fileチェックの欠如[bsc#1057719]
- CVE-2017-14138:サービス拒否が発生する可能性のあるcoders/webp.cのReadWEBPImageにおけるメモリ枯渇の脆弱性[bsc#1057157]。
- CVE-2017-13769:coders/thumbnail.cのWriteTHUMBNAILImage関数におけるサービス拒否の問題[bsc#1056432]
- CVE-2017-13134:coders/sfw.cのthefunction SFWScanにヒープベースのバッファオーバーリードが発見され、攻撃者が細工されたファイルを介してサービス拒否を引き起こすことが可能です。[bsc#1055214]
- CVE-2017-15217:coders/sgi.cのReadSGIImage関数におけるメモリリーク[bsc#1062750]
- CVE-2017-11478:ImageMagickのcoders/djvu.cのReadOneDJVUImageにより、リモートの攻撃者がDoSを引き起こす可能性が可能です[bsc#1049796]
- CVE-2017-15930:JPEGスキャンラインの転送中のNULLポインターデリファレンスにより、サービス拒否が発生する可能性があります[bsc#1066003]
- CVE-2017-12983:coders/sfw.c inImageMagick 7.0.6-8のReadSFWImage関数におけるヒープベースのバッファオーバーフローにより、リモートの攻撃者がサービス拒否を引き起こすことが可能です[bsc#1054757]
- CVE-2017-14531:ReadSUNImage incoders/sun.cにおけるメモリ枯渇の問題。[bsc#1059666]
- CVE-2017-12435:coders/sun.cのReadSUNImageのメモリ枯渇により、攻撃者がサービス拒否を引き起こすことが可能です[bsc#1052553]
- CVE-2017-12587:coders\pwp.cのReadPWPImageにおけるユーザーが制御可能な大きなループにより、サービス拒否が発生する可能性があります[bsc#1052450]
- CVE-2017-11523:coders/txt.cのReadTXTImageにより、リモートの攻撃者が、サービス拒否を引き起こすことが可能です[bsc#1050083]。
- CVE-2017-14173:unction ReadTXTImageが整数オーバーフローに対して脆弱であり、サービス拒否が発生する可能性があります[bsc#1057729]
- CVE-2017-11188:ImageMagick:ImageMagick 7.0.6-0のcodersdpx.cのReadDPXImage関数には、ラージループの脆弱性があり、EOFチェックの欠如に関連する、細工されたDPXファイルを介してCPU枯渇を引き起こす可能性があります。
[bnc#1048457]
- CVE-2017-11527:ImageMagick:coders/dpx.cのReadDPXImageにより、リモートの攻撃者がDoSを引き起こす可能性が可能です[bnc#1050116]
- CVE-2017-11535:GraphicsMagick、ImageMagick:coders/ps.cのWritePSImage()におけるヒープベースのバッファオーバーリード(bnc#1050139)
- CVE-2017-11752:ImageMagick:coders/magick.cのReadMAGICKImageにより、DoSが引き起こされる可能性があります[bnc#1051441]
- CVE-2017-12140:ImageMagick:codersdcm.cのReadDCMImageに、過剰なメモリ消費に至るninteger符号エラーがあります(bnc#1051847)
- CVE-2017-12669:ImageMagick:coders/cals.cのWriteCALSImageにおけるメモリリーク[bnc#1052689]
- CVE-2017-12662:GraphicsMagick、ImageMagick:coders/pdf.c内のWritePDFImageにおけるメモリリーク[bnc#1052758]
- CVE-2017-12644:ImageMagick:codersdcm.cのReadDCMImage関数におけるメモリリーク[bnc#1052764]
- CVE-2017-14172:ImageMagick:サービス拒否が発生する可能性のあるReadPSImage()のEnd of Fileチェックの欠如[bnc#1057730]
- CVE-2017-14733:GraphicsMagick:coders/rle.cのReadRLEImageにおけるヒープオーバーフローにより、サービス拒否が発生する可能性があります[bnc#1060577]
注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。
ソリューション
このSUSEセキュリティ更新プログラムをインストールするには、YaST online_updateを使用してください。別の方法として、製品にリストされているコマンドを実行することができます:
SUSE Linux Enterprise Workstation Extension 12-SP3:zypper in -t patch SUSE-SLE-WE-12-SP3-2017-2123=1
SUSE Linux Enterpriseワークステーション拡張12-SP2:zypper in -t patch SUSE-SLE-WE-12-SP2-2017-2123=1
SUSE Linux Enterprise Software Development Kit 12-SP3:zypper in -t patch SUSE-SLE-SDK-12-SP3-2017-2123=1
SUSE Linux Enterpriseソフトウェア開発キット12-SP2:zypper in -t patch SUSE-SLE-SDK-12-SP2-2017-2123=1
SUSE Linux Enterprise Server for Raspberry Pi 12-SP2:zypper in -t patch SUSE-SLE-RPI-12-SP2-2017-2123=1
SUSE Linux Enterprise Server 12-SP3:zypper in -t patch SUSE-SLE-SERVER-12-SP3-2017-2123=1
SUSE Linux Enterprise Server 12-SP2:zypper in -t patch SUSE-SLE-SERVER-12-SP2-2017-2123=1
SUSE Linux Enterprise Desktop 12-SP3:zypper in -t patch SUSE-SLE-DESKTOP-12-SP3-2017-2123=1
SUSE Linux Enterprise Desktop 12-SP2:zypper in -t patch SUSE-SLE-DESKTOP-12-SP2-2017-2123=1
お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。
参考資料
https://bugzilla.suse.com/show_bug.cgi?id=1048457
https://bugzilla.suse.com/show_bug.cgi?id=1049796
https://bugzilla.suse.com/show_bug.cgi?id=1050083
https://bugzilla.suse.com/show_bug.cgi?id=1050116
https://bugzilla.suse.com/show_bug.cgi?id=1050139
https://bugzilla.suse.com/show_bug.cgi?id=1050632
https://bugzilla.suse.com/show_bug.cgi?id=1051441
https://bugzilla.suse.com/show_bug.cgi?id=1051847
https://bugzilla.suse.com/show_bug.cgi?id=1052450
https://bugzilla.suse.com/show_bug.cgi?id=1052553
https://bugzilla.suse.com/show_bug.cgi?id=1052689
https://bugzilla.suse.com/show_bug.cgi?id=1052744
https://bugzilla.suse.com/show_bug.cgi?id=1052758
https://bugzilla.suse.com/show_bug.cgi?id=1052764
https://bugzilla.suse.com/show_bug.cgi?id=1054757
https://bugzilla.suse.com/show_bug.cgi?id=1055214
https://bugzilla.suse.com/show_bug.cgi?id=1056432
https://bugzilla.suse.com/show_bug.cgi?id=1057157
https://bugzilla.suse.com/show_bug.cgi?id=1057719
https://bugzilla.suse.com/show_bug.cgi?id=1057729
https://bugzilla.suse.com/show_bug.cgi?id=1057730
https://bugzilla.suse.com/show_bug.cgi?id=1058485
https://bugzilla.suse.com/show_bug.cgi?id=1058637
https://bugzilla.suse.com/show_bug.cgi?id=1059666
https://bugzilla.suse.com/show_bug.cgi?id=1059778
https://bugzilla.suse.com/show_bug.cgi?id=1060176
https://bugzilla.suse.com/show_bug.cgi?id=1060577
https://bugzilla.suse.com/show_bug.cgi?id=1061254
https://bugzilla.suse.com/show_bug.cgi?id=1062750
https://bugzilla.suse.com/show_bug.cgi?id=1066003
https://bugzilla.suse.com/show_bug.cgi?id=1067181
https://bugzilla.suse.com/show_bug.cgi?id=1067184
https://bugzilla.suse.com/show_bug.cgi?id=1067409
https://www.suse.com/security/cve/CVE-2017-11188/
https://www.suse.com/security/cve/CVE-2017-11478/
https://www.suse.com/security/cve/CVE-2017-11523/
https://www.suse.com/security/cve/CVE-2017-11527/
https://www.suse.com/security/cve/CVE-2017-11535/
https://www.suse.com/security/cve/CVE-2017-11640/
https://www.suse.com/security/cve/CVE-2017-11752/
https://www.suse.com/security/cve/CVE-2017-12140/
https://www.suse.com/security/cve/CVE-2017-12435/
https://www.suse.com/security/cve/CVE-2017-12587/
https://www.suse.com/security/cve/CVE-2017-12644/
https://www.suse.com/security/cve/CVE-2017-12662/
https://www.suse.com/security/cve/CVE-2017-12669/
https://www.suse.com/security/cve/CVE-2017-12983/
https://www.suse.com/security/cve/CVE-2017-13134/
https://www.suse.com/security/cve/CVE-2017-13769/
https://www.suse.com/security/cve/CVE-2017-14138/
https://www.suse.com/security/cve/CVE-2017-14172/
https://www.suse.com/security/cve/CVE-2017-14173/
https://www.suse.com/security/cve/CVE-2017-14175/
https://www.suse.com/security/cve/CVE-2017-14341/
https://www.suse.com/security/cve/CVE-2017-14342/
https://www.suse.com/security/cve/CVE-2017-14531/
https://www.suse.com/security/cve/CVE-2017-14607/
https://www.suse.com/security/cve/CVE-2017-14682/
https://www.suse.com/security/cve/CVE-2017-14733/
https://www.suse.com/security/cve/CVE-2017-14989/
https://www.suse.com/security/cve/CVE-2017-15217/
https://www.suse.com/security/cve/CVE-2017-15930/
https://www.suse.com/security/cve/CVE-2017-16545/
https://www.suse.com/security/cve/CVE-2017-16546/
プラグインの詳細
深刻度: Critical
ID: 105409
ファイル名: suse_SU-2017-3388-1.nasl
バージョン: 3.6
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2017/12/21
更新日: 2021/1/6
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:imagemagick, p-cpe:/a:novell:suse_linux:imagemagick-debuginfo, p-cpe:/a:novell:suse_linux:imagemagick-debugsource, p-cpe:/a:novell:suse_linux:libmagick%2b%2b-6_q16, p-cpe:/a:novell:suse_linux:libmagick%2b%2b-6_q16-3-debuginfo, p-cpe:/a:novell:suse_linux:libmagickcore-6_q16, p-cpe:/a:novell:suse_linux:libmagickcore-6_q16-1, p-cpe:/a:novell:suse_linux:libmagickcore-6_q16-1-debuginfo, p-cpe:/a:novell:suse_linux:libmagickwand-6_q16, p-cpe:/a:novell:suse_linux:libmagickwand-6_q16-1-debuginfo, cpe:/o:novell:suse_linux:12
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2017/12/20
脆弱性公開日: 2017/7/12
参照情報
CVE: CVE-2017-11188, CVE-2017-11478, CVE-2017-11523, CVE-2017-11527, CVE-2017-11535, CVE-2017-11640, CVE-2017-11752, CVE-2017-12140, CVE-2017-12435, CVE-2017-12587, CVE-2017-12644, CVE-2017-12662, CVE-2017-12669, CVE-2017-12983, CVE-2017-13134, CVE-2017-13769, CVE-2017-14138, CVE-2017-14172, CVE-2017-14173, CVE-2017-14175, CVE-2017-14341, CVE-2017-14342, CVE-2017-14531, CVE-2017-14607, CVE-2017-14682, CVE-2017-14733, CVE-2017-14989, CVE-2017-15217, CVE-2017-15930, CVE-2017-16545, CVE-2017-16546, CVE-2017-16669