ImageMagick < 7.0.8-44の複数の脆弱性
high Nessus プラグイン ID 124776
Language:
概要
リモートの Windows ホストにインストールされているアプリケーションは、複数の脆弱性の影響を受けます。説明
リモートの Windows ホストにインストールされている ImageMagick のバージョンは、7.0.8-44より前の7.xです。そのため、以下の複数の脆弱性の影響を受けます。- 例外的な状態を処理できないためにサービス拒否の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたファイルにユーザーを誘導し、システムの応答停止を引き起こす可能性があります。(CVE-2018-15607)
- 例外的な状態を処理できないために、スタックベースのバッファオーバーフロー状態が PopHexPixel 関数にあります。認証されていないリモートの攻撃者がこれを悪用し、細工された画像ファイルを開くようユーザーを誘導し、サービス拒否状態または任意のコードの実行を引き起こす可能性があります。(CVE-2019-9956)
- 例外的な状態を処理できないために、メモリリークの脆弱性が SVGKeyValuePairs 関数にあります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工された画像ファイルを開くようユーザーを誘導し、アプリケーションの応答停止を引き起こす可能性があります。
(CVE-2019-10649)
アプリケーションはさらにいくつかの脆弱性の影響も受ける可能性があります。詳細については、ベンダーにお問い合わせください。
ソリューション
ImageMagickをバージョン7.0.8-44以降にアップグレードしてください。注意: システムから脆弱なバージョンを手動でアンインストールすることが必要な場合もあります。参考資料
http://www.nessus.org/u?b866ca80
http://www.nessus.org/u?46745bf3
http://www.nessus.org/u?9ef3902f
http://www.nessus.org/u?76a32d69
プラグインの詳細
深刻度: High
ID: 124776
ファイル名: imagemagick_7_0_8-44.nasl
バージョン: 1.5
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2019/5/10
更新日: 2023/7/19
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2019-9956
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:imagemagick:imagemagick
必要な KB アイテム: installed_sw/ImageMagick
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2018/8/21
脆弱性公開日: 2018/8/21
参照情報
CVE: CVE-2018-15607, CVE-2019-10649, CVE-2019-10650, CVE-2019-11597, CVE-2019-11598, CVE-2019-9956