SUSE SLED12 / SLES12 Security Update : ImageMagick (SUSE-SU-2019:2010-1)

high Nessus プラグイン ID 127750

言語:

New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

このImageMagick用の更新プログラムでは、次の問題が修正されています。修正されたセキュリティ問題:

CVE-2019-13301:AcquireMagickMemory()におけるメモリリークを修正しました(bsc#1140554)

CVE-2019-13310:MagickWand/mogrify.c内のエラーによる、AcquireMagickMemoryにおけるメモリリークを修正しました(bsc#1140501)。

CVE-2019-13311:wand/mogrify.cのエラーによる、AcquireMagickMemoryにおけるメモリリークを修正しました(bsc#1140513)。

CVE-2019-13454:MagickCore/layer.c内のRemoveDuplicateLayersにおけるゼロ除算を修正しました(bsc#1141171)。

CVE-2019-13295:AdaptiveThresholdImageのMagickCore/threshold.cにおけるヒープベースのバッファオーバーリードを修正しました(bsc#1140664)。

CVE-2019-13297:AdaptiveThresholdImageのMagickCore/threshold.cにおけるヒープベースのバッファオーバーリードを修正しました(bsc#1140666)。

CVE-2019-12979:SyncImageSettings()での初期化されていない値の使用を修正しました(bsc#1139886)。

CVE-2019-13391:MagickCore/fourier.c内のヒープベースのバッファオーバーリードを修正しました(bsc#1140673)。

CVE-2019-13308:MagickCore/fourier.c内のヒープベースのバッファオーバーフローを修正しました(bsc#1140534)。

CVE-2019-13300:行の不適切な処理による、EvaluateImagesのMagickCore/statistic.cにおけるヒープベースのバッファオーバーフローを修正しました(bsc#1140669)。

CVE-2019-13307:MagickCore/statistic.cにおけるヒープベースのバッファオーバーフローを修正しました(bsc#1140538)。

CVE-2019-12975:coders/dpx.cのWriteDPXImage()におけるメモリリークを修正しました(bsc#1140106)。

CVE-2019-13135:ReadCUTImage()での初期化されていない値の使用を修正しました(bsc#1140103)。

CVE-2019-12978:ReadPANGOImage()での初期化されていない値の使用を修正しました(bsc#1139885)。

CVE-2019-12974:ReadPANGOImage()のNULLポインターデリファレンスを修正しました(bsc#1140111)。

CVE-2019-13133:ReadBMPImage()のメモリリークを修正しました(bsc#1140100)。

CVE-2019-13134:ReadVIFFImage()のメモリリークを修正しました(bsc#1140102)。

CVE-2019-12976:coders/pcl.cのReadBMPImage()のメモリリークを修正しました(bsc#1140110)。

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ソリューション

このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。

別の方法として、製品にリストされているコマンドを実行することができます:

SUSE Linux Enterpriseワークステーション拡張12-SP4:zypper in -t patch SUSE-SLE-WE-12-SP4-2019-2010=1

SUSE Linux Enterpriseソフトウェア開発キット12-SP4:zypper in -t patch SUSE-SLE-SDK-12-SP4-2019-2010=1

SUSE Linux Enterprise Server 12-SP4:zypper in -t patch SUSE-SLE-SERVER-12-SP4-2019-2010=1

SUSE Linux Enterprise Desktop 12-SP4:zypper in -t patch SUSE-SLE-DESKTOP-12-SP4-2019-2010=1

関連情報

https://bugzilla.suse.com/show_bug.cgi?id=1139885

https://bugzilla.suse.com/show_bug.cgi?id=1139886

https://bugzilla.suse.com/show_bug.cgi?id=1140100

https://bugzilla.suse.com/show_bug.cgi?id=1140102

https://bugzilla.suse.com/show_bug.cgi?id=1140103

https://bugzilla.suse.com/show_bug.cgi?id=1140106

https://bugzilla.suse.com/show_bug.cgi?id=1140110

https://bugzilla.suse.com/show_bug.cgi?id=1140111

https://bugzilla.suse.com/show_bug.cgi?id=1140501

https://bugzilla.suse.com/show_bug.cgi?id=1140513

https://bugzilla.suse.com/show_bug.cgi?id=1140534

https://bugzilla.suse.com/show_bug.cgi?id=1140538

https://bugzilla.suse.com/show_bug.cgi?id=1140554

https://bugzilla.suse.com/show_bug.cgi?id=1140664

https://bugzilla.suse.com/show_bug.cgi?id=1140666

https://bugzilla.suse.com/show_bug.cgi?id=1140669

https://bugzilla.suse.com/show_bug.cgi?id=1140673

https://bugzilla.suse.com/show_bug.cgi?id=1141171

https://www.suse.com/security/cve/CVE-2019-12974/

https://www.suse.com/security/cve/CVE-2019-12975/

https://www.suse.com/security/cve/CVE-2019-12976/

https://www.suse.com/security/cve/CVE-2019-12978/

https://www.suse.com/security/cve/CVE-2019-12979/

https://www.suse.com/security/cve/CVE-2019-13133/

https://www.suse.com/security/cve/CVE-2019-13134/

https://www.suse.com/security/cve/CVE-2019-13135/

https://www.suse.com/security/cve/CVE-2019-13295/

https://www.suse.com/security/cve/CVE-2019-13297/

https://www.suse.com/security/cve/CVE-2019-13300/

https://www.suse.com/security/cve/CVE-2019-13301/

https://www.suse.com/security/cve/CVE-2019-13307/

https://www.suse.com/security/cve/CVE-2019-13308/

https://www.suse.com/security/cve/CVE-2019-13310/

https://www.suse.com/security/cve/CVE-2019-13311/

https://www.suse.com/security/cve/CVE-2019-13391/

https://www.suse.com/security/cve/CVE-2019-13454/

http://www.nessus.org/u?9cb8fdd2

プラグインの詳細

深刻度: High

ID: 127750

ファイル名: suse_SU-2019-2010-1.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2019/8/12

更新日: 2020/8/3

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

現状ベクトル: CVSS2#E:U/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 8.8

Temporal Score: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:2.3:o:novell:suse_linux:12:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:suse_linux:imagemagick:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:suse_linux:imagemagick-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:suse_linux:imagemagick-debugsource:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:suse_linux:libmagickcore-6_q16:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:suse_linux:libmagickcore-6_q16-1:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:suse_linux:libmagickcore-6_q16-1-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:suse_linux:libmagickwand-6_q16:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:suse_linux:libmagickwand-6_q16-1-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:suse_linux:imagemagick-config-6-suse:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:suse_linux:imagemagick-config-6-upstream:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:suse_linux:libmagick\+\+-6_q16:*:*:*:*:*:*:*, p-cpe:2.3:a:novell:suse_linux:libmagick\+\+-6_q16-3-debuginfo:*:*:*:*:*:*:*

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/7/29

脆弱性公開日: 2019/6/26

参照情報

CVE: CVE-2019-12974, CVE-2019-12975, CVE-2019-12976, CVE-2019-12978, CVE-2019-12979, CVE-2019-13133, CVE-2019-13134, CVE-2019-13135, CVE-2019-13295, CVE-2019-13297, CVE-2019-13300, CVE-2019-13301, CVE-2019-13307, CVE-2019-13308, CVE-2019-13310, CVE-2019-13311, CVE-2019-13391, CVE-2019-13454

IAVB: 2019-B-0062-S