SUSE SLED15 / SLES15セキュリティ更新プログラム:ImageMagick(SUSE-SU-2021:0156-1)
high Nessus プラグイン ID 145181
Language:
概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。説明
このImageMagick用の更新プログラムでは、次の問題が修正されています。修正されたセキュリティ問題:CVE-2020-19667:XPMコーダーのスタックベースのバッファオーバーフローにより、クラッシュが発生する可能性がありました(bsc#1179103)。
CVE-2020-25664:PopShortPixelでのヒープベースのバッファオーバーフローを修正しました(bsc#1179202)。
CVE-2020-25665:WritePALMImageにおけるヒープベースのバッファオーバーフローを修正しました(bsc#1179208)。
CVE-2020-25666:「int」型の範囲外の表現可能な値と符号付き整数オーバーフローを修正しました(bsc#1179212)。
CVE-2020-25674:WriteOnePNGImageにおけるヒープベースのバッファオーバーフローを修正しました(bsc#1179223)。
CVE-2020-25675:「long」型の範囲外の表現可能な値と整数オーバーフローを修正しました(bsc#1179240)。
CVE-2020-25676:MagickCore/pixel.cでの、「long」型の範囲外の表現可能な値と整数オーバーフローを修正しました(bsc#1179244)。
CVE-2020-27750:MagickCore/colorspace-private.hのゼロ除算を修正しました(bsc#1179260)。
CVE-2020-27751:MagickCore/quantum-export.cの整数オーバーフローを修正しました(bsc#1179269)。
CVE-2020-27752:MagickCore/quantum-private.hのPopShortPixelでのヒープベースのバッファオーバーフローを修正しました(bsc#1179346)。
CVE-2020-27753:AcquireMagickMemory関数におけるメモリリークを修正しました(bsc#1179397)。
CVE-2020-27754:MagickCore/quantize.cでの、「long」型の範囲外の表現可能な値と符号付き整数オーバーフローを修正しました(bsc#1179336)。
CVE-2020-27755:ImageMagick/MagickCore/memory.cにおけるResizeMagickMemory関数でのメモリリークを修正しました(bsc#1179345)。
CVE-2020-27756:MagickCore/geometry.cでのゼロ除算を修正しました(bsc#1179221)。
CVE-2020-27757:MagickCore/quantum-private.hでの、「符号なしlong long」型の範囲外の表現可能な値を修正しました(bsc#1179268)。
CVE-2020-27758:「符号なしlong long」型の範囲外の表現可能な値を修正しました(bsc#1179276)。
CVE-2020-27759:MagickCore/quantize.cでの「int」型の範囲外の表現可能な値を修正しました(bsc#1179313)。
CVE-2020-27760:MagickCore/enhance.cでのゼロ除算を修正しました(bsc#1179281)。
CVE-2020-27761:coders/palm.cでの「符号なしlong」型の範囲外の表現可能な値を修正しました(bsc#1179315)。
CVE-2020-27762:「符号なしchar」型の範囲外の表現可能な値を修正しました(bsc#1179278)。
CVE-2020-27763:MagickCore/resize.cでのゼロ除算を修正しました(bsc#1179312)。
CVE-2020-27764:MagickCore/statistic.cでの、「符号なしlong」型の範囲外の表現可能な値を修正しました(bsc#1179317)。
CVE-2020-27765:MagickCore/segment.cでのゼロ除算を修正しました(bsc#1179311)。
CVE-2020-27766:MagickCore/statistic.cでの、「符号なしlong」型の範囲外の表現可能な値を修正しました(bsc#1179361)。
CVE-2020-27767:MagickCore/quantum.hでの「float」型の範囲外の表現可能な値を修正しました(bsc#1179322)。
CVE-2020-27768:MagickCore/quantum-private.hでの、「符号なしint」型の範囲外の表現可能な値を修正しました(bsc#1179339)。
CVE-2020-27769:MagickCore/quantize.cでの「float」型の範囲外の表現可能な値を修正しました(bsc#1179321)。
CVE-2020-27770:MagickCore/string.cでオーバーフローした符号なしオフセットを修正しました(bsc#1179343)。
CVE-2020-27771:coders/pdf.cでの「符号なしchar」型の範囲外の表現可能な値を修正しました(bsc#1179327)。
CVE-2020-27772:coders/bmp.cでの「符号なしint」型の範囲外の表現可能な値を修正しました(bsc#1179347)。
CVE-2020-27773:MagickCore/gem-private.hでのゼロ除算を修正しました(bsc#1179285)。
CVE-2020-27774:MagickCore/statistic.cでの整数オーバーフローを修正しました(bsc#1179333)。
CVE-2020-27775:MagickCore/quantum.hでの、「符号なしchar」型の範囲外の表現可能な値を修正しました(bsc#1179338)。
CVE-2020-27776:MagickCore/statistic.cでの、「符号なしlong」型の範囲外の表現可能な値を修正しました(bsc#1179362)。
CVE-2020-29599:-authenticateでのシェルコマンドインジェクションを修正しました(bsc#1179753)。
注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。
ソリューション
このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。別の方法として、製品にリストされているコマンドを実行することができます:
SUSE Manager Server 4.0:
zypper in -t patch SUSE-SLE-Product-SUSE-Manager-Server-4.0-2021-156=1
SUSE Manager Retail Branch Server 4.0:
zypper in -t patch SUSE-SLE-Product-SUSE-Manager-Retail-Branch-Server-4.0-2021-156=1
SUSE Manager Proxy 4.0:
zypper in -t patch SUSE-SLE-Product-SUSE-Manager-Proxy-4.0-2021-156=1
SUSE Linux Enterprise Server for SAP 15-SP1:
zypper in -t patch SUSE-SLE-Product-SLES_SAP-15-SP1-2021-156=1
SUSE Linux Enterprise Server for SAP 15:
zypper in -t patch SUSE-SLE-Product-SLES_SAP-15-2021-156=1
SUSE Linux Enterprise Server 15-SP1-LTSS:
zypper in -t patch SUSE-SLE-Product-SLES-15-SP1-LTSS-2021-156=1
SUSE Linux Enterprise Server 15-SP1-BCL:
zypper in -t patch SUSE-SLE-Product-SLES-15-SP1-BCL-2021-156=1
SUSE Linux Enterprise Server 15-LTSS:
zypper in -t patch SUSE-SLE-Product-SLES-15-2021-156=1
SUSE Linux Enterprise Module for Development Tools 15-SP1:
zypper in -t patch SUSE-SLE-Module-Development-Tools-15-SP1-2021-156=1
SUSE Linux Enterprise Module for Desktop Applications 15-SP1:
zypper in -t patch SUSE-SLE-Module-Desktop-Applications-15-SP1-2021-156=1
SUSE Linux Enterprise High Performance Computing 15-SP1-LTSS:
zypper in -t patch SUSE-SLE-Product-HPC-15-SP1-LTSS-2021-156=1
SUSE Linux Enterprise High Performance Computing 15-SP1-ESPOS:
zypper in -t patch SUSE-SLE-Product-HPC-15-SP1-ESPOS-2021-156=1
SUSE Linux Enterprise High Performance Computing 15-LTSS:
zypper in -t patch SUSE-SLE-Product-HPC-15-2021-156=1
SUSE Linux Enterprise High Performance Computing 15-ESPOS:
zypper in -t patch SUSE-SLE-Product-HPC-15-2021-156=1
SUSE Enterprise Storage 6:
zypper in -t patch SUSE-Storage-6-2021-156=1
SUSE CaaS Platform 4.0:
この更新プログラムをインストールするには、SUSE CaaS Platform「skuba」ツールを使用してください。新しい更新を検出した場合は通知され、その後、制御された方法でクラスター全体の更新をトリガーできます。
参考資料
https://bugzilla.suse.com/show_bug.cgi?id=1179103
https://bugzilla.suse.com/show_bug.cgi?id=1179202
https://bugzilla.suse.com/show_bug.cgi?id=1179208
https://bugzilla.suse.com/show_bug.cgi?id=1179212
https://bugzilla.suse.com/show_bug.cgi?id=1179221
https://bugzilla.suse.com/show_bug.cgi?id=1179223
https://bugzilla.suse.com/show_bug.cgi?id=1179240
https://bugzilla.suse.com/show_bug.cgi?id=1179244
https://bugzilla.suse.com/show_bug.cgi?id=1179260
https://bugzilla.suse.com/show_bug.cgi?id=1179268
https://bugzilla.suse.com/show_bug.cgi?id=1179269
https://bugzilla.suse.com/show_bug.cgi?id=1179276
https://bugzilla.suse.com/show_bug.cgi?id=1179278
https://bugzilla.suse.com/show_bug.cgi?id=1179281
https://bugzilla.suse.com/show_bug.cgi?id=1179285
https://bugzilla.suse.com/show_bug.cgi?id=1179311
https://bugzilla.suse.com/show_bug.cgi?id=1179312
https://bugzilla.suse.com/show_bug.cgi?id=1179313
https://bugzilla.suse.com/show_bug.cgi?id=1179315
https://bugzilla.suse.com/show_bug.cgi?id=1179317
https://bugzilla.suse.com/show_bug.cgi?id=1179321
https://bugzilla.suse.com/show_bug.cgi?id=1179322
https://bugzilla.suse.com/show_bug.cgi?id=1179327
https://bugzilla.suse.com/show_bug.cgi?id=1179333
https://bugzilla.suse.com/show_bug.cgi?id=1179336
https://bugzilla.suse.com/show_bug.cgi?id=1179338
https://bugzilla.suse.com/show_bug.cgi?id=1179339
https://bugzilla.suse.com/show_bug.cgi?id=1179343
https://bugzilla.suse.com/show_bug.cgi?id=1179345
https://bugzilla.suse.com/show_bug.cgi?id=1179346
https://bugzilla.suse.com/show_bug.cgi?id=1179347
https://bugzilla.suse.com/show_bug.cgi?id=1179361
https://bugzilla.suse.com/show_bug.cgi?id=1179362
https://bugzilla.suse.com/show_bug.cgi?id=1179397
https://bugzilla.suse.com/show_bug.cgi?id=1179753
https://www.suse.com/security/cve/CVE-2020-19667/
https://www.suse.com/security/cve/CVE-2020-25664/
https://www.suse.com/security/cve/CVE-2020-25665/
https://www.suse.com/security/cve/CVE-2020-25666/
https://www.suse.com/security/cve/CVE-2020-25674/
https://www.suse.com/security/cve/CVE-2020-25675/
https://www.suse.com/security/cve/CVE-2020-25676/
https://www.suse.com/security/cve/CVE-2020-27750/
https://www.suse.com/security/cve/CVE-2020-27751/
https://www.suse.com/security/cve/CVE-2020-27752/
https://www.suse.com/security/cve/CVE-2020-27753/
https://www.suse.com/security/cve/CVE-2020-27754/
https://www.suse.com/security/cve/CVE-2020-27755/
https://www.suse.com/security/cve/CVE-2020-27756/
https://www.suse.com/security/cve/CVE-2020-27757/
https://www.suse.com/security/cve/CVE-2020-27758/
https://www.suse.com/security/cve/CVE-2020-27759/
https://www.suse.com/security/cve/CVE-2020-27760/
https://www.suse.com/security/cve/CVE-2020-27761/
https://www.suse.com/security/cve/CVE-2020-27762/
https://www.suse.com/security/cve/CVE-2020-27763/
https://www.suse.com/security/cve/CVE-2020-27764/
https://www.suse.com/security/cve/CVE-2020-27765/
https://www.suse.com/security/cve/CVE-2020-27766/
https://www.suse.com/security/cve/CVE-2020-27767/
https://www.suse.com/security/cve/CVE-2020-27768/
https://www.suse.com/security/cve/CVE-2020-27769/
https://www.suse.com/security/cve/CVE-2020-27770/
https://www.suse.com/security/cve/CVE-2020-27771/
https://www.suse.com/security/cve/CVE-2020-27772/
https://www.suse.com/security/cve/CVE-2020-27773/
https://www.suse.com/security/cve/CVE-2020-27774/
https://www.suse.com/security/cve/CVE-2020-27775/
https://www.suse.com/security/cve/CVE-2020-27776/
プラグインの詳細
深刻度: High
ID: 145181
ファイル名: suse_SU-2021-0156-1.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2021/1/20
更新日: 2024/1/29
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2020-29599
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 7
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:imagemagick, p-cpe:/a:novell:suse_linux:imagemagick-config-7-suse, p-cpe:/a:novell:suse_linux:imagemagick-config-7-upstream, p-cpe:/a:novell:suse_linux:imagemagick-debuginfo, p-cpe:/a:novell:suse_linux:imagemagick-debugsource, p-cpe:/a:novell:suse_linux:imagemagick-devel, p-cpe:/a:novell:suse_linux:libmagick%2b%2b, p-cpe:/a:novell:suse_linux:libmagick%2b%2b-7_q16hdri4-debuginfo, p-cpe:/a:novell:suse_linux:libmagick%2b%2b-devel, p-cpe:/a:novell:suse_linux:libmagickcore, p-cpe:/a:novell:suse_linux:libmagickcore-7_q16hdri6-debuginfo, p-cpe:/a:novell:suse_linux:libmagickwand, p-cpe:/a:novell:suse_linux:libmagickwand-7_q16hdri6-debuginfo, p-cpe:/a:novell:suse_linux:perl-perlmagick, p-cpe:/a:novell:suse_linux:perl-perlmagick-debuginfo, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2021/1/18
脆弱性公開日: 2020/11/20
参照情報
CVE: CVE-2020-19667, CVE-2020-25664, CVE-2020-25665, CVE-2020-25666, CVE-2020-25674, CVE-2020-25675, CVE-2020-25676, CVE-2020-27750, CVE-2020-27751, CVE-2020-27752, CVE-2020-27753, CVE-2020-27754, CVE-2020-27755, CVE-2020-27756, CVE-2020-27757, CVE-2020-27758, CVE-2020-27759, CVE-2020-27760, CVE-2020-27761, CVE-2020-27762, CVE-2020-27763, CVE-2020-27764, CVE-2020-27765, CVE-2020-27766, CVE-2020-27767, CVE-2020-27768, CVE-2020-27769, CVE-2020-27770, CVE-2020-27771, CVE-2020-27772, CVE-2020-27773, CVE-2020-27774, CVE-2020-27775, CVE-2020-27776, CVE-2020-29599