検出

Ubuntu 20.04 LTS / 22.04 LTS : ImageMagick の脆弱性 (USN-6200-2)

medium Nessus プラグイン ID 204796

Language:

概要

リモート Ubuntu ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの Ubuntu 20.04 LTS / 22.04 LTS ホストには、USN-6200-2 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

 USN-6200-1 では、ImageMagick の脆弱性が修正されました。残念ながら、これらの修正は Ubuntu 20.04 LTS、および Ubuntu 22.04 LTS では不完全でした。この更新プログラムにより問題が修正されます。

 元のアドバイザリの詳細:

 ImageMagick がパスワード保護された PDF ファイルの -authenticate オプションを

 不適切に処理していたことがわかりました。攻撃者が、この問題を利用して、

 追加のシェルコマンドを注入し、任意のコードを実行する

 可能性があります。この問題の影響を受けるのは、Ubuntu 20.04 LTSのみです。(CVE-2020-29599)

 PDF ファイルを処理するとき、ImageMagick が特定の値を不適切に処理していることが

 判明しました。ImageMagick を使用するユーザーまたは自動システムが

 騙されて特別に細工された PDF ファイルを開くと、攻撃者が

 これを悪用してサービス拒否を引き起こす可能性があります。この問題は Ubuntu

 20.04 LTS にのみ影響を与えます。(CVE-2021-20224)

 Zhang Xiaohui 氏は、画像データを処理する際、ImageMagick が特定の値を不適切に処理していることを

 発見しました。ImageMagick を使用するユーザーまたは自動システムが

 騙されて特別に細工された画像を開くと、

 攻撃者がこれを悪用してサービス拒否を引き起こす可能性があります。この問題は

 Ubuntu 20.04 LTS に影響を与えます。(CVE-2021-20241、CVE-2021-20243)

 ビジュアルエフェクトベースの画像ファイルを処理するとき、ImageMagick が特定の値を不適切に処理していることが

 わかりました。ユーザーが騙されて

 特別に細工された画像ファイルを開くと、攻撃者が

 アプリケーションをクラッシュさせ、サービス拒否を引き起こす可能性があります。この問題は Ubuntu

 20.04 LTS にのみ影響を与えます。(CVE-2021-20244、CVE-2021-20309)

 リサンプル操作を実行するとき、ImageMagick が特定の値を不適切に処理していることが

 わかりました。ユーザーが騙されて

 特別に細工された画像ファイルを開くと、攻撃者がアプリケーションをクラッシュさせて

 サービス拒否を引き起こす可能性があります。この問題の影響を受けるのは、Ubuntu 20.04 LTS のみです。

 (CVE-2021-20246)

 サムネイル画像データを処理するとき、ImageMagick が特定の値を不適切に処理していることが

 わかりました。ユーザーが騙されて

 特別に細工された画像ファイルを開くと、攻撃者がアプリケーションをクラッシュさせて

 サービス拒否を引き起こす可能性があります。この問題の影響を受けるのは、Ubuntu 20.04 LTS のみです。

 (CVE-2021-20312)

 特定の暗号化操作を実行するとき、ImageMagick が特定の値を不適切に処理していることが

 わかりました。特定の条件下で

 機密性の高い暗号情報が漏えいする可能性があります。この問題は

 Ubuntu 20.04 LTS にのみ影響を与えます。(CVE-2021-20313)

 ImageMagick がモジュールポリシーによって明確に除外される場合、

 正しい権限を使用しないことがわかりました。攻撃者がこの問題を悪用して、

 特定の制限されたファイルを読み書きする可能性があります。この問題は Ubuntu

 20.04 LTS にのみ影響を与えます。(CVE-2021-39212)

 特定の状況で、ImageMagick が特定の値を不適切に処理していることが

 わかりました。ユーザーが騙されて特別に細工された

 画像ファイルを開くと、攻撃者がこの問題を悪用して

 サービス拒否またはその他の詳細不明な影響を与える可能性があります。この問題は Ubuntu

 20.04 LTS にのみ影響を与えます。(CVE-2022-28463、CVE-2022-32545、CVE-2022-32546、CVE-2022-32547)

 特定の状況で、ImageMagick が特定の値を不適切に処理していることが

 わかりました。ユーザーが騙されて特別に細工された

 画像ファイルを開くと、攻撃者がこの問題を悪用して

 サービス拒否またはその他の詳細不明な影響を与える可能性があります。この問題は Ubuntu

 22.04 LTS、Ubuntu 22.10、Ubuntu 23.04 にのみ影響を与えます。(CVE-2021-3610、CVE-2023-1906、

 CVE-2023-3428)

 特別に細工された SVG ファイルを処理するとき、ImageMagick が特定の値を不適切に処理していることが

 わかりました。ユーザーが騙されて

 特別に細工された SVG ファイルを開くと、攻撃者が

 アプリケーションをクラッシュさせ、サービス拒否を引き起こす可能性があります。この問題は Ubuntu

 20.04 LTS、Ubuntu 22.04 LTS、Ubuntu 22.10、および Ubuntu 23.04 にのみ影響を与えます。(CVE-2023-1289)

 特定の状況で、ImageMagick が特定の値を不適切に処理していることが

 わかりました。ユーザーが騙されて特別に細工された

 tiff ファイルを開くと、攻撃者がこの問題を悪用して

 サービス拒否またはその他の詳細不明な影響を与える可能性があります。この問題は Ubuntu

 22.04 LTS、Ubuntu 22.10、Ubuntu 23.04 にのみ影響を与えます。(CVE-2023-3195)

 特定の状況で、ImageMagick が特定の値を不適切に処理していることが

 わかりました。ユーザーが騙されて特別に細工された

 画像ファイルを開くと、攻撃者がこの問題を悪用して

 サービス拒否またはその他の詳細不明な影響を与える可能性があります。(CVE-2023-34151)

Tenable は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://ubuntu.com/security/notices/USN-6200-2

プラグインの詳細

深刻度: Medium

ID: 204796

ファイル名: ubuntu_USN-6200-2.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2024/7/26

更新日: 2024/8/28

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 4.9

現状値: 3.8

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2023-34151

CVSS v3

リスクファクター: Medium

基本値: 5.5

現状値: 5

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:canonical:ubuntu_linux:libmagick%2b%2b-6.q16-8, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:libmagick%2b%2b-dev, p-cpe:/a:canonical:ubuntu_linux:imagemagick, p-cpe:/a:canonical:ubuntu_linux:libmagickwand-6.q16hdri-6, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6.q16-6, p-cpe:/a:canonical:ubuntu_linux:libmagick%2b%2b-6.q16-dev, p-cpe:/a:canonical:ubuntu_linux:imagemagick-common, p-cpe:/a:canonical:ubuntu_linux:imagemagick-6-common, p-cpe:/a:canonical:ubuntu_linux:libmagick%2b%2b-6-headers, p-cpe:/a:canonical:ubuntu_linux:libimage-magick-perl, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6-arch-config, p-cpe:/a:canonical:ubuntu_linux:libmagick%2b%2b-6.q16hdri-dev, p-cpe:/a:canonical:ubuntu_linux:libmagickwand-6.q16-dev, p-cpe:/a:canonical:ubuntu_linux:imagemagick-6.q16hdri, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6.q16-dev, p-cpe:/a:canonical:ubuntu_linux:libimage-magick-q16hdri-perl, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6.q16hdri-6-extra, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-dev, p-cpe:/a:canonical:ubuntu_linux:libmagick%2b%2b-6.q16hdri-8, p-cpe:/a:canonical:ubuntu_linux:libmagickwand-dev, p-cpe:/a:canonical:ubuntu_linux:imagemagick-6.q16, p-cpe:/a:canonical:ubuntu_linux:libmagickwand-6.q16-6, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6.q16hdri-dev, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6.q16hdri-6, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6-headers, p-cpe:/a:canonical:ubuntu_linux:libmagickwand-6.q16hdri-dev, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6.q16-6-extra, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:perlmagick, p-cpe:/a:canonical:ubuntu_linux:libimage-magick-q16-perl, p-cpe:/a:canonical:ubuntu_linux:libmagickwand-6-headers

必要な KB アイテム: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/7/25

脆弱性公開日: 2023/3/23

参照情報

CVE: CVE-2023-1289, CVE-2023-34151

IAVB: 2023-B-0020-S, 2023-B-0038-S

USN: 6200-2