検出

Debian dla-4431gimp - セキュリティ更新

medium Nessus プラグイン ID 281613

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートのDebian 11ホストには、dla-4431アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 -------------------------------------------------- ----------------------- Debian LTS アドバイザリ DLA-4431-1 [email protected] https://www.debian.org/lts/security/Andreas Henriksson 2026 年 1 月 2 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

 パッケージ gimp バージョン 2.10.22-4+deb11u5 CVE ID CVE-2022-30067 CVE-2025-14422 CVE-2025-14425 Debian バグ

 GNU 画像操作プログラムである GIMP に複数の脆弱性が見つかりました。これにより、無効な形式の XCF、PNM、JP2 のファイルが開かれた場合、バッファオーバーフローが引き起こされ、任意のコードが実行される可能性があります。

 CVE-2022-30067

 GIMP 2.10.30 および 2.99.10 はバッファオーバーフローに対して脆弱です。プログラムは細工された XCF ファイルを使用して大量のメモリを割り当て、メモリ不足またはプログラムのクラッシュを引き起こします。

 CVE-2025-14422

 GIMP PNM ファイル解析整数オーバーフローのリモートコード実行の脆弱性。
 この脆弱性により、リモートの攻撃者が、影響を受ける GIMP のインストールで、任意のコードを実行する可能性があります。標的となるユーザーが悪意のあるページにアクセスするか、悪意のあるファイルを開く必要があるため、この脆弱性を悪用するにはユーザーの操作が必要です。PNM ファイルの解析内に特定の欠陥が存在します。この問題は、ユーザー指定のデータが適切に検証されていないために発生しており、バッファを割り当てる前に整数オーバーフローが発生する可能性があります。攻撃者はこの脆弱性を利用して、現在のプロセスのコンテキストでコードを実行する可能性があります。は ZDI-CAN-28273 でした。

 CVE-2025-14425

 GIMP JP2 ファイル解析のヒープベースのバッファオーバーフローのリモートコード実行の脆弱性。
 この脆弱性により、リモートの攻撃者が、影響を受ける GIMP のインストールで、任意のコードを実行する可能性があります。標的となるユーザーが悪意のあるページにアクセスするか、悪意のあるファイルを開く必要があるため、この脆弱性を悪用するにはユーザーの操作が必要です。JP2 ファイルの解析内に、特定の欠陥が存在します。この問題は、ユーザー指定のデータをヒープベースバッファにコピーする前に、その長さが適切に検証されないことが原因です。
 攻撃者はこの脆弱性を利用して、現在のプロセスのコンテキストでコードを実行する可能性があります。ZDI-CAN-28248 でした。


 Debian 11 Bullseyeでは、これらの問題はバージョン2.10.22-4+deb11u5で修正されました。

 お使いの gimp パッケージをアップグレードすることを推奨します。

 gimp の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
 https://security-tracker.debian.org/tracker/gimp

 Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 署名

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

gimp パッケージをアップグレードしてください。

参考資料

https://security-tracker.debian.org/tracker/source-package/gimp

https://security-tracker.debian.org/tracker/CVE-2022-30067

https://security-tracker.debian.org/tracker/CVE-2025-14422

https://security-tracker.debian.org/tracker/CVE-2025-14425

https://packages.debian.org/source/bullseye/gimp

プラグインの詳細

深刻度: Medium

ID: 281613

ファイル名: debian_DLA-4431.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2026/1/2

更新日: 2026/1/9

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.4

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2022-30067

CVSS v3

リスクファクター: Medium

基本値: 5.5

現状値: 5

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:gimp-data, p-cpe:/a:debian:debian_linux:libgimp2.0-doc, p-cpe:/a:debian:debian_linux:gimp, p-cpe:/a:debian:debian_linux:libgimp2.0, p-cpe:/a:debian:debian_linux:libgimp2.0-dev

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/1/2

脆弱性公開日: 2022/5/17

参照情報

CVE: CVE-2022-30067, CVE-2025-14422, CVE-2025-14425

IAVB: 2026-B-0003