Debian DLA-2366-1: imagemagick セキュリティ更新
critical Nessus プラグイン ID 140297
Language:
概要
リモートの Debian ホストにセキュリティ更新プログラムがありません。説明
Debianのバグ : 870020 870019 876105 869727 886281 873059 870504 870530 870107 872609 875338 875339 875341 873871 873131 875352 878506 875503 875502 876105 876099 878546 878545 877354 877355 878524 878547 878548 878555 878554 878548 878555 878554 878579 885942 886584 928206 941670 931447 932079Imagemagickで複数のセキュリティ脆弱性が見つかりました。不正な形式の画像ファイルが処理される場合、さまざまなメモリ処理の問題があり、入力サニタイズが欠如しているか不完全であるならば、サービス拒否、メモリまたはCPUの消費、または任意コードの実行が発生する可能性があります。
Debian 9「Stretch」では、これらの問題はバージョン8:6.9.7.4+dfsg-11+deb9u10で修正されています。
お使いの imagemagick パッケージをアップグレードすることを推奨します。
imagemagick の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/imagemagick
注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。
ソリューション
影響を受けるパッケージをアップグレードしてください。参考資料
https://lists.debian.org/debian-lts-announce/2020/09/msg00007.html
https://packages.debian.org/source/stretch/imagemagick
https://security-tracker.debian.org/tracker/source-package/imagemagick
プラグインの詳細
深刻度: Critical
ID: 140297
ファイル名: debian_DLA-2366.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2020/9/8
更新日: 2024/2/21
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2017-18211
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:imagemagick, p-cpe:/a:debian:debian_linux:imagemagick-6-common, p-cpe:/a:debian:debian_linux:imagemagick-6-doc, p-cpe:/a:debian:debian_linux:imagemagick-6.q16, p-cpe:/a:debian:debian_linux:imagemagick-6.q16hdri, p-cpe:/a:debian:debian_linux:imagemagick-common, p-cpe:/a:debian:debian_linux:imagemagick-doc, p-cpe:/a:debian:debian_linux:libimage-magick-perl, p-cpe:/a:debian:debian_linux:libimage-magick-q16-perl, p-cpe:/a:debian:debian_linux:libimage-magick-q16hdri-perl, p-cpe:/a:debian:debian_linux:libmagick%2b%2b-6-headers, p-cpe:/a:debian:debian_linux:libmagick%2b%2b-6.q16-7, p-cpe:/a:debian:debian_linux:libmagick%2b%2b-6.q16-dev, p-cpe:/a:debian:debian_linux:libmagick%2b%2b-6.q16hdri-7, p-cpe:/a:debian:debian_linux:libmagick%2b%2b-6.q16hdri-dev, p-cpe:/a:debian:debian_linux:libmagick%2b%2b-dev, p-cpe:/a:debian:debian_linux:libmagickcore-6-arch-config, p-cpe:/a:debian:debian_linux:libmagickcore-6-headers, p-cpe:/a:debian:debian_linux:libmagickcore-6.q16-3, p-cpe:/a:debian:debian_linux:libmagickcore-6.q16-3-extra, p-cpe:/a:debian:debian_linux:libmagickcore-6.q16-dev, p-cpe:/a:debian:debian_linux:libmagickcore-6.q16hdri-3, p-cpe:/a:debian:debian_linux:libmagickcore-6.q16hdri-3-extra, p-cpe:/a:debian:debian_linux:libmagickcore-6.q16hdri-dev, p-cpe:/a:debian:debian_linux:libmagickcore-dev, p-cpe:/a:debian:debian_linux:libmagickwand-6-headers, p-cpe:/a:debian:debian_linux:libmagickwand-6.q16-3, p-cpe:/a:debian:debian_linux:libmagickwand-6.q16-dev, p-cpe:/a:debian:debian_linux:libmagickwand-6.q16hdri-3, p-cpe:/a:debian:debian_linux:libmagickwand-6.q16hdri-dev, p-cpe:/a:debian:debian_linux:libmagickwand-dev, p-cpe:/a:debian:debian_linux:perlmagick, cpe:/o:debian:debian_linux:9.0
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2020/9/7
脆弱性公開日: 2017/8/2
参照情報
CVE: CVE-2017-1000445, CVE-2017-1000476, CVE-2017-12140, CVE-2017-12429, CVE-2017-12430, CVE-2017-12435, CVE-2017-12563, CVE-2017-12643, CVE-2017-12670, CVE-2017-12674, CVE-2017-12691, CVE-2017-12692, CVE-2017-12693, CVE-2017-12806, CVE-2017-12875, CVE-2017-13061, CVE-2017-13133, CVE-2017-13658, CVE-2017-13768, CVE-2017-14060, CVE-2017-14172, CVE-2017-14173, CVE-2017-14174, CVE-2017-14175, CVE-2017-14249, CVE-2017-14341, CVE-2017-14400, CVE-2017-14505, CVE-2017-14532, CVE-2017-14624, CVE-2017-14625, CVE-2017-14626, CVE-2017-14739, CVE-2017-14741, CVE-2017-15015, CVE-2017-15017, CVE-2017-15281, CVE-2017-17682, CVE-2017-17914, CVE-2017-18209, CVE-2017-18211, CVE-2017-18271, CVE-2017-18273, CVE-2018-16643, CVE-2018-16749, CVE-2018-18025, CVE-2019-11598, CVE-2019-13135, CVE-2019-13308, CVE-2019-13391, CVE-2019-15139