SUSE SLED15/SLES15 セキュリティ更新: ImageMagick (SUSE-SU-2026:0853-1)
critical Nessus プラグイン ID 301809
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 ホストには、SUSE-SU-2026:0853-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。- CVE-2026-24481: PSD ZIP 展開での潜在的なヒープ情報漏洩 (bsc#1258743)。
- CVE-2026-24484マルチレイヤ―のネスト化された MVG から SVG への変換を介したサービス拒否の脆弱性bsc#1258790。
- CVE-2026-24485: 無効な形式の PCD ファイル処理によるサービス拒否 (bsc#1258791)。
- CVE-2026-25576: 未加工のピクセルデータを読み取る複数のコーダーにおける領域外読み取り (bsc#1258748)。
- CVE-2026-25637: メモリリークによる細工された画像によるサービス拒否 (bsc#1258759)。
- CVE-2026-25638: 画像処理のメモリリークによるサービス拒否 (bsc#1258793)。
- CVE-2026-25795: 一時ファイル作成の失敗時の NULL ポインターデリファレンスによるサービス拒否 (bsc#1258792)。
- CVE-2026-25796: 複数のエラー/早期リターンパス上の ReadSTEGANOImage におけるウォーターマーク画像オブジェクトのメモリ漏洩 (bsc#1258757)。
- CVE-2026-25797: さまざまなエンコーダーのコードインジェクション (bsc#1258770)。
- CVE-2026-25798: 細工された画像を介した ClonePixelCacheRepository での NULL ポインターデリファレンス (bsc#1258787)。
- CVE-2026-25799: YUV サンプリングファクター検証でのゼロ除算により、クラッシュが引き起こされます (bsc#1258786)。
- CVE-2026-25897: sun デコーダーでの整数オーバーフローによる領域外ヒープ書き込み (bsc#1258799)。
- CVE-2026-25898: 無効なピクセルインデックスを持つ細工された画像による情報漏洩またはサービス拒否 (bsc#1258807)。
- CVE-2026-25965: パストラバーサルを通じたポリシーバイパスにより、保護されているポリシーにかかわらず、制限されたコンテンツの読み取りが可能です (bsc#1258785)。
- CVE-2026-25966: fd ハンドラーを介する config/policy-secure.xml を通じたセキュリティポリシーバイパスにより、stdin/stdout アクセスが引き起こされます (bsc#1258780)。
- CVE-2026-25970: SIXEL デコーダーの符号付き整数オーバーフローによるメモリ破損とサービス拒否 (bsc#1258802)。
- CVE-2026-25971: MSL: ProcessMSLScript でのスタックオーバーフロー (bsc#1258774)。
- CVE-2026-25983: 細工された MSL スクリプトによるサービス拒否 (bsc#1258805)。
- CVE-2026-25986: 無効な形式の YUV 画像処理によるサービス拒否 (bsc#1258818)。
- CVE-2026-25987: 細工された MAP ファイルを介したメモリ漏洩とサービス拒否 (bsc#1258821)。
- CVE-2026-25988: 画像処理のメモリリークによるサービス拒否 (bsc#1258810)。
- CVE-2026-25989: 整数オーバーフローまたはラップアラウンド、および内部 SVG デコーダーにおける数値タイプ間の不適切な変換 (bsc#1258771)。
- CVE-2026-26066: IPTCTEXT を書き込む際の無限ループにより、細工されたプロファイルを介してサービス拒否が発生します (bsc#1258769)。
- CVE-2026-26284: pcd デコーダーでのヒープオーバーフローにより、領域外読み取りが発生します (bsc#1258765)。
- CVE-2026-26983無効な MSL <map> により、use-after-free が発生する可能性がありますbsc#1258763。
- CVE-2026-27798: 小さな画像を処理する際の WaveletDenoise におけるヒープバッファオーバーリード (bsc#1259018)。
- CVE-2026-27799: ImageMagick には、DJVU 画像フォーマットハンドラーにヒープバッファオーバーリードがあります (bsc#1259017)。
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.suse.com/1258748
https://bugzilla.suse.com/1258757
https://bugzilla.suse.com/1258759
https://bugzilla.suse.com/1258763
https://bugzilla.suse.com/1258765
https://bugzilla.suse.com/1258769
https://bugzilla.suse.com/1258770
https://bugzilla.suse.com/1258771
https://bugzilla.suse.com/1258774
https://bugzilla.suse.com/1258780
https://bugzilla.suse.com/1258785
https://bugzilla.suse.com/1258786
https://bugzilla.suse.com/1258787
https://bugzilla.suse.com/1258790
https://bugzilla.suse.com/1258791
https://bugzilla.suse.com/1258792
https://bugzilla.suse.com/1258793
https://bugzilla.suse.com/1258799
https://bugzilla.suse.com/1258802
https://bugzilla.suse.com/1258805
https://bugzilla.suse.com/1258807
https://bugzilla.suse.com/1258810
https://bugzilla.suse.com/1258818
https://bugzilla.suse.com/1258821
https://bugzilla.suse.com/1259017
https://bugzilla.suse.com/1259018
http://www.nessus.org/u?c3628cd0
https://bugzilla.suse.com/1258743
https://www.suse.com/security/cve/CVE-2026-24481
https://www.suse.com/security/cve/CVE-2026-24484
https://www.suse.com/security/cve/CVE-2026-24485
https://www.suse.com/security/cve/CVE-2026-25576
https://www.suse.com/security/cve/CVE-2026-25637
https://www.suse.com/security/cve/CVE-2026-25638
https://www.suse.com/security/cve/CVE-2026-25795
https://www.suse.com/security/cve/CVE-2026-25796
https://www.suse.com/security/cve/CVE-2026-25797
https://www.suse.com/security/cve/CVE-2026-25798
https://www.suse.com/security/cve/CVE-2026-25799
https://www.suse.com/security/cve/CVE-2026-25897
https://www.suse.com/security/cve/CVE-2026-25898
https://www.suse.com/security/cve/CVE-2026-25965
https://www.suse.com/security/cve/CVE-2026-25966
https://www.suse.com/security/cve/CVE-2026-25970
https://www.suse.com/security/cve/CVE-2026-25971
https://www.suse.com/security/cve/CVE-2026-25983
https://www.suse.com/security/cve/CVE-2026-25986
https://www.suse.com/security/cve/CVE-2026-25987
https://www.suse.com/security/cve/CVE-2026-25988
https://www.suse.com/security/cve/CVE-2026-25989
https://www.suse.com/security/cve/CVE-2026-26066
https://www.suse.com/security/cve/CVE-2026-26284
https://www.suse.com/security/cve/CVE-2026-26983
プラグインの詳細
深刻度: Critical
ID: 301809
ファイル名: suse_SU-2026-0853-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2026/3/11
更新日: 2026/3/11
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2026-25986
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:libmagick%2b%2b-7_q16hdri5, p-cpe:/a:novell:suse_linux:imagemagick-config-7-upstream, p-cpe:/a:novell:suse_linux:imagemagick-devel, p-cpe:/a:novell:suse_linux:libmagick%2b%2b-devel, p-cpe:/a:novell:suse_linux:libmagickcore-7_q16hdri10, p-cpe:/a:novell:suse_linux:imagemagick-config-7-suse, p-cpe:/a:novell:suse_linux:perl-perlmagick, p-cpe:/a:novell:suse_linux:imagemagick, cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:libmagickwand-7_q16hdri10
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/3/9
脆弱性公開日: 2026/2/24
参照情報
CVE: CVE-2026-24481, CVE-2026-24484, CVE-2026-24485, CVE-2026-25576, CVE-2026-25637, CVE-2026-25638, CVE-2026-25795, CVE-2026-25796, CVE-2026-25797, CVE-2026-25798, CVE-2026-25799, CVE-2026-25897, CVE-2026-25898, CVE-2026-25965, CVE-2026-25966, CVE-2026-25970, CVE-2026-25971, CVE-2026-25983, CVE-2026-25986, CVE-2026-25987, CVE-2026-25988, CVE-2026-25989, CVE-2026-26066, CVE-2026-26284, CVE-2026-26983, CVE-2026-27798, CVE-2026-27799
SuSE: SUSE-SU-2026:0853-1