openSUSEセキュリティ更新プログラム:GraphicsMagick(openSUSE-2018-407)
critical Nessus プラグイン ID 109521
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このGraphicsMagick用更新プログラムでは、以下の問題を修正します。修正されたセキュリティ問題:- セキュリティ更新(コア)
- CVE-2018-6799:1.3.28より前のGraphicsMagick内のmagick/pixel_cache.cのAcquireCacheNexus関数により、リモート攻撃者が、細工された画像ファイルを介して、サービス拒否(ヒープオーバーライト)を引き起こしたり、詳細不明なその他の影響を与えたりする可能性があります。これは、ピクセルステージング領域が使用されていないためです。(boo#1080522)
- セキュリティ更新(png.c)
- CVE-2018-9018:GraphicsMagick 1.3.28では、coders/png.cのReadMNGImage関数にゼロ除算が存在します。リモート攻撃者が、この脆弱性を悪用し、細工したmngファイルを介してクラッシュおよびサービス拒否を引き起こす可能性があります。(boo#1086773)
- セキュリティ更新(gif.c)
- CVE-2017-18254:ImageMagick 7.0.7で問題が発見されました。coders/gif.c内のWriteGIFImage関数でメモリリークの脆弱性が見つかり、リモート攻撃者が細工したファイルを介してサービス拒否を引き起こす可能性があります。(boo#1087027)
- セキュリティ更新(pcd.c)
- CVE-2017-18251:ImageMagick 7.0.7で問題が発見されました。coders/pcd.c内のReadPCDImage関数でメモリリークの脆弱性が見つかり、リモート攻撃者が細工したファイルを介してサービス拒否を引き起こす可能性があります。(boo#1087037)
- CVE-2017-18229:GraphicsMagick 1.3.26で1つの問題が発見されました。coders/tiff.cのReadTIFFImage関数に割り当て失敗の脆弱性が見つかりました。これにより、スキャンライン、ストリップ、タイルの割り当てを制限するためにファイルサイズが適切に使用されないため、攻撃者が細工されたファイルでサービス拒否を引き起こす可能性があります。(boo#1085236)
- CVE-2017-11641:GraphicsMagick 1.3.26では、Magick Persistent Cache(MPC)ファイルの書き込み中にmagick/pixel_cache.cのPersistCache関数にメモリリークが起こります。(boo#1050623)
- CVE-2017-13066:GraphicsMagick 1.3.26では、magick/image.cのCloneImage関数にメモリリークの脆弱性があります。(boo#1055010)
- CVE-2018-10177:特別に細工されたPNG画像が無限ループをトリガーする可能性があります(bsc#1089781)
ソリューション
影響を受けるGraphicsMagickパッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1050623
https://bugzilla.opensuse.org/show_bug.cgi?id=1055010
https://bugzilla.opensuse.org/show_bug.cgi?id=1080522
https://bugzilla.opensuse.org/show_bug.cgi?id=1085236
https://bugzilla.opensuse.org/show_bug.cgi?id=1086773
https://bugzilla.opensuse.org/show_bug.cgi?id=1087027
プラグインの詳細
深刻度: Critical
ID: 109521
ファイル名: openSUSE-2018-407.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2018/5/2
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: Critical
基本値: 9.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:graphicsmagick, p-cpe:/a:novell:opensuse:graphicsmagick-debuginfo, p-cpe:/a:novell:opensuse:graphicsmagick-debugsource, p-cpe:/a:novell:opensuse:graphicsmagick-devel, p-cpe:/a:novell:opensuse:libgraphicsmagick%2b%2b-q16-12, p-cpe:/a:novell:opensuse:libgraphicsmagick%2b%2b-q16-12-debuginfo, p-cpe:/a:novell:opensuse:libgraphicsmagick%2b%2b-devel, p-cpe:/a:novell:opensuse:libgraphicsmagick-q16-3, p-cpe:/a:novell:opensuse:libgraphicsmagick-q16-3-debuginfo, p-cpe:/a:novell:opensuse:libgraphicsmagick3-config, p-cpe:/a:novell:opensuse:libgraphicsmagickwand-q16-2, p-cpe:/a:novell:opensuse:libgraphicsmagickwand-q16-2-debuginfo, p-cpe:/a:novell:opensuse:perl-graphicsmagick, p-cpe:/a:novell:opensuse:perl-graphicsmagick-debuginfo, cpe:/o:novell:opensuse:42.3
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2018/5/2
参照情報
CVE: CVE-2017-11641, CVE-2017-13066, CVE-2017-18229, CVE-2017-18251, CVE-2017-18254, CVE-2018-10177, CVE-2018-6799, CVE-2018-9018