SUSE SLED15 / SLES15セキュリティ更新プログラム:ImageMagick(SUSE-SU-2021:0153-1)

high Nessus プラグイン ID 145198

Language:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

このImageMagick用の更新プログラムでは、次の問題が修正されています。修正されたセキュリティ問題:

CVE-2020-25664:PopShortPixelでのヒープベースのバッファオーバーフローを修正しました(bsc#1179202)。

CVE-2020-25665:WritePALMImageにおけるヒープベースのバッファオーバーフローを修正しました(bsc#1179208)。

CVE-2020-25666:「int」型の範囲外の表現可能な値と符号付き整数オーバーフローを修正しました(bsc#1179212)。

CVE-2020-25674:WriteOnePNGImageにおけるヒープベースのバッファオーバーフローを修正しました(bsc#1179223)。

CVE-2020-25675:「long」型の範囲外の表現可能な値と整数オーバーフローを修正しました(bsc#1179240)。

CVE-2020-25676:MagickCore/pixel.cでの、「long」型の範囲外の表現可能な値と整数オーバーフローを修正しました(bsc#1179244)。

CVE-2020-27750:MagickCore/colorspace-private.hのゼロ除算を修正しました(bsc#1179260)。

CVE-2020-27751:MagickCore/quantum-export.cの整数オーバーフローを修正しました(bsc#1179269)。

CVE-2020-27752:MagickCore/quantum-private.hのPopShortPixelでのヒープベースのバッファオーバーフローを修正しました(bsc#1179346)。

CVE-2020-27752:MagickCore/quantum-private.hのPopShortPixelでのヒープベースのバッファオーバーフローを修正しました(bsc#1179346)。

CVE-2020-27753:AcquireMagickMemory関数におけるメモリリークを修正しました(bsc#1179397)。

CVE-2020-27755:ImageMagick/MagickCore/memory.cにおけるResizeMagickMemory関数でのメモリリークを修正しました(bsc#1179345)。

CVE-2020-27756:MagickCore/geometry.cでのゼロ除算を修正しました(bsc#1179221)。

CVE-2020-27757:MagickCore/quantum-private.hでの、「符号なしlong long」型の範囲外の表現可能な値を修正しました(bsc#1179268)。

CVE-2020-27758:「符号なしlong long」型の範囲外の表現可能な値を修正しました(bsc#1179276)。

CVE-2020-27759:MagickCore/quantize.cでの「int」型の範囲外の表現可能な値を修正しました(bsc#1179313)。

CVE-2020-27760:MagickCore/enhance.cでのゼロ除算を修正しました(bsc#1179281)。

CVE-2020-27761:coders/palm.cでの「符号なしlong」型の範囲外の表現可能な値を修正しました(bsc#1179315)。

CVE-2020-27762:「符号なしchar」型の範囲外の表現可能な値を修正しました(bsc#1179278)。

CVE-2020-27763:MagickCore/resize.cでのゼロ除算を修正しました(bsc#1179312)。

CVE-2020-27764:MagickCore/statistic.cでの、「符号なしlong」型の範囲外の表現可能な値を修正しました(bsc#1179317)。

CVE-2020-27765:MagickCore/segment.cでのゼロ除算を修正しました(bsc#1179311)。

CVE-2020-27766:MagickCore/statistic.cでの、「符号なしlong」型の範囲外の表現可能な値を修正しました(bsc#1179361)。

CVE-2020-27767:MagickCore/quantum.hでの「float」型の範囲外の表現可能な値を修正しました(bsc#1179322)。

CVE-2020-27768:MagickCore/quantum-private.hでの、「符号なしint」型の範囲外の表現可能な値を修正しました(bsc#1179339)。

CVE-2020-27770:MagickCore/string.cでオーバーフローした符号なしオフセットを修正しました(bsc#1179343)。

CVE-2020-27771:coders/pdf.cでの「符号なしchar」型の範囲外の表現可能な値を修正しました(bsc#1179327)。

CVE-2020-27772:coders/bmp.cでの「符号なしint」型の範囲外の表現可能な値を修正しました(bsc#1179347)。

CVE-2020-27773:MagickCore/gem-private.hでのゼロ除算を修正しました(bsc#1179285)。

CVE-2020-27774:MagickCore/statistic.cでの整数オーバーフローを修正しました(bsc#1179333)。

CVE-2020-27775:MagickCore/quantum.hでの、「符号なしchar」型の範囲外の表現可能な値を修正しました(bsc#1179338)。

CVE-2020-27776:MagickCore/statistic.cでの、「符号なしlong」型の範囲外の表現可能な値を修正しました(bsc#1179362)。

CVE-2020-29599:-authenticateでのシェルコマンドインジェクションを修正しました(bsc#1179753)。

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ソリューション

このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。

別の方法として、製品にリストされているコマンドを実行することができます:

SUSE Linux Enterprise Module for Development Tools 15-SP2:

zypper in -t patch SUSE-SLE-Module-Development-Tools-15-SP2-2021-153=1

SUSE Linux Enterprise Module for Desktop Applications 15-SP2:

zypper in -t patch SUSE-SLE-Module-Desktop-Applications-15-SP2-2021-153=1

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=1179202

https://bugzilla.suse.com/show_bug.cgi?id=1179208

https://bugzilla.suse.com/show_bug.cgi?id=1179212

https://bugzilla.suse.com/show_bug.cgi?id=1179221

https://bugzilla.suse.com/show_bug.cgi?id=1179223

https://bugzilla.suse.com/show_bug.cgi?id=1179240

https://bugzilla.suse.com/show_bug.cgi?id=1179244

https://bugzilla.suse.com/show_bug.cgi?id=1179260

https://bugzilla.suse.com/show_bug.cgi?id=1179268

https://bugzilla.suse.com/show_bug.cgi?id=1179269

https://bugzilla.suse.com/show_bug.cgi?id=1179276

https://bugzilla.suse.com/show_bug.cgi?id=1179278

https://bugzilla.suse.com/show_bug.cgi?id=1179281

https://bugzilla.suse.com/show_bug.cgi?id=1179285

https://bugzilla.suse.com/show_bug.cgi?id=1179311

https://bugzilla.suse.com/show_bug.cgi?id=1179312

https://bugzilla.suse.com/show_bug.cgi?id=1179313

https://bugzilla.suse.com/show_bug.cgi?id=1179315

https://bugzilla.suse.com/show_bug.cgi?id=1179317

https://bugzilla.suse.com/show_bug.cgi?id=1179321

https://bugzilla.suse.com/show_bug.cgi?id=1179322

https://bugzilla.suse.com/show_bug.cgi?id=1179327

https://bugzilla.suse.com/show_bug.cgi?id=1179333

https://bugzilla.suse.com/show_bug.cgi?id=1179336

https://bugzilla.suse.com/show_bug.cgi?id=1179338

https://bugzilla.suse.com/show_bug.cgi?id=1179339

https://bugzilla.suse.com/show_bug.cgi?id=1179343

https://bugzilla.suse.com/show_bug.cgi?id=1179345

https://bugzilla.suse.com/show_bug.cgi?id=1179346

https://bugzilla.suse.com/show_bug.cgi?id=1179347

https://bugzilla.suse.com/show_bug.cgi?id=1179361

https://bugzilla.suse.com/show_bug.cgi?id=1179362

https://bugzilla.suse.com/show_bug.cgi?id=1179397

https://bugzilla.suse.com/show_bug.cgi?id=1179753

https://www.suse.com/security/cve/CVE-2020-25664/

https://www.suse.com/security/cve/CVE-2020-25665/

https://www.suse.com/security/cve/CVE-2020-25666/

https://www.suse.com/security/cve/CVE-2020-25674/

https://www.suse.com/security/cve/CVE-2020-25675/

https://www.suse.com/security/cve/CVE-2020-25676/

https://www.suse.com/security/cve/CVE-2020-27750/

https://www.suse.com/security/cve/CVE-2020-27751/

https://www.suse.com/security/cve/CVE-2020-27752/

https://www.suse.com/security/cve/CVE-2020-27753/

https://www.suse.com/security/cve/CVE-2020-27754/

https://www.suse.com/security/cve/CVE-2020-27755/

https://www.suse.com/security/cve/CVE-2020-27756/

https://www.suse.com/security/cve/CVE-2020-27757/

https://www.suse.com/security/cve/CVE-2020-27758/

https://www.suse.com/security/cve/CVE-2020-27759/

https://www.suse.com/security/cve/CVE-2020-27760/

https://www.suse.com/security/cve/CVE-2020-27761/

https://www.suse.com/security/cve/CVE-2020-27762/

https://www.suse.com/security/cve/CVE-2020-27763/

https://www.suse.com/security/cve/CVE-2020-27764/

https://www.suse.com/security/cve/CVE-2020-27765/

https://www.suse.com/security/cve/CVE-2020-27766/

https://www.suse.com/security/cve/CVE-2020-27767/

https://www.suse.com/security/cve/CVE-2020-27768/

https://www.suse.com/security/cve/CVE-2020-27769/

https://www.suse.com/security/cve/CVE-2020-27770/

https://www.suse.com/security/cve/CVE-2020-27771/

https://www.suse.com/security/cve/CVE-2020-27772/

https://www.suse.com/security/cve/CVE-2020-27773/

https://www.suse.com/security/cve/CVE-2020-27774/

https://www.suse.com/security/cve/CVE-2020-27775/

https://www.suse.com/security/cve/CVE-2020-27776/

https://www.suse.com/security/cve/CVE-2020-29599/

http://www.nessus.org/u?4ad7b6a1

プラグインの詳細

深刻度: High

ID: 145198

ファイル名: suse_SU-2021-0153-1.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2021/1/20

更新日: 2024/1/29

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2020-29599

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 7

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:imagemagick, p-cpe:/a:novell:suse_linux:imagemagick-config-7-suse, p-cpe:/a:novell:suse_linux:imagemagick-config-7-upstream, p-cpe:/a:novell:suse_linux:imagemagick-debuginfo, p-cpe:/a:novell:suse_linux:imagemagick-debugsource, p-cpe:/a:novell:suse_linux:imagemagick-devel, p-cpe:/a:novell:suse_linux:libmagick%2b%2b, p-cpe:/a:novell:suse_linux:libmagick%2b%2b-7_q16hdri4-debuginfo, p-cpe:/a:novell:suse_linux:libmagick%2b%2b-devel, p-cpe:/a:novell:suse_linux:libmagickcore, p-cpe:/a:novell:suse_linux:libmagickcore-7_q16hdri6-debuginfo, p-cpe:/a:novell:suse_linux:libmagickwand, p-cpe:/a:novell:suse_linux:libmagickwand-7_q16hdri6-debuginfo, p-cpe:/a:novell:suse_linux:perl-perlmagick, p-cpe:/a:novell:suse_linux:perl-perlmagick-debuginfo, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2021/1/15

脆弱性公開日: 2020/12/3

参照情報

CVE: CVE-2020-25664, CVE-2020-25665, CVE-2020-25666, CVE-2020-25674, CVE-2020-25675, CVE-2020-25676, CVE-2020-27750, CVE-2020-27751, CVE-2020-27752, CVE-2020-27753, CVE-2020-27754, CVE-2020-27755, CVE-2020-27756, CVE-2020-27757, CVE-2020-27758, CVE-2020-27759, CVE-2020-27760, CVE-2020-27761, CVE-2020-27762, CVE-2020-27763, CVE-2020-27764, CVE-2020-27765, CVE-2020-27766, CVE-2020-27767, CVE-2020-27768, CVE-2020-27769, CVE-2020-27770, CVE-2020-27771, CVE-2020-27772, CVE-2020-27773, CVE-2020-27774, CVE-2020-27775, CVE-2020-27776, CVE-2020-29599