Amazon Linux 2023 : ImageMagick、ImageMagick-c++、ImageMagick-c++-devel (ALAS2023-2026-1500)
high Nessus プラグイン ID 304613
Language:
概要
リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。説明
したがって、ALAS2023-2026-1500 のアドバイザリに記載されている複数の脆弱性の影響を受けます。ImageMagick に欠陥が見つかりました。SIXEL デコーダーに整数オーバーフローの脆弱性が存在するため、リモートの攻撃者は、特別に細工された画像を通じて、領域外書き込みを行うことができます。これにより、サービス拒否DoSや情報漏えいが引き起こされる可能性があります。CVE-2026-28493
ImageMagick に欠陥が見つかりました。この脆弱性であるスタックバッファオーバーフローにより、攻撃者が悪意を持って細工されたカーネル文字列を提供することでスタックを破損させる可能性があります。これは、任意のコードの実行やサービス拒否 (DoS) につながり、システムの可用性と整合性に影響を与える可能性があります。
(CVE-2026-28494)
デジタル画像の編集および操作に使用される無料のオープンソースソフトウェアである ImageMagick に欠陥が見つかりました。ローカルの攻撃者は、サイズの小さい出力バッファ割り当てによる PCL エンコードのヒープバッファオーバーフローの脆弱性を悪用する可能性があります。これにより、サービス拒否 (DoS) が発生してソフトウェアが利用できなくなり、データの整合性に影響を与える可能性があります。CVE-2026-28686
デジタル画像の編集および操作に使用される無料のオープンソースソフトウェアである ImageMagick に欠陥が見つかりました。ImageMagick の MSLMagick Scripting Languageデコーダーにあるヒープ use-after-free の脆弱性により、攻撃者が、悪意のある MSL ファイルを細工することで、解放されたメモリへのアクセスをトリガすることができます。これにより、サービス拒否が発生する可能性があります。CVE-2026-28687
ImageMagick は、デジタル画像の編集と操作に使用される無料のオープンソースソフトウェアです。バージョン 7.1.2-16 および 6.9.13-41より前のバージョンでは、クローンされたイメージが 2 回破壊されるため、MSL エンコーダーに heap-use-after-free の脆弱性が存在します。MSL コーダーは MSL の書き込みをサポートしていないため、書き込み機能は削除されました。この脆弱性は、7.1.2-16 および 6.9.13-41 で修正されています。(CVE-2026-28688)
デジタル画像の編集および操作に使用される無料のオープンソースソフトウェアである ImageMagick に欠陥が見つかりました。ファイルが最終的に開かれるまたは使用される前にファイルパスの認証がチェックされる場合、time-of-check to time-of-useTOCTOUの脆弱性が存在します。ローカルの攻撃者がこれを悪用し、チェック時間と使用時間の間にシンボリックリンクスワップを実行して、ポリシー拒否の読み取り/書き込み操作をバイパスする可能性があります。これにより、情報漏えいやファイルの不正な変更が発生する可能性があります。CVE-2026-28689
ImageMagick は、デジタル画像の編集と操作に使用される無料のオープンソースソフトウェアです。バージョン 7.1.2-16 および 6.9.13-41より前のバージョンでは、MNG エンコーダーにスタックバッファオーバーフローの脆弱性が存在します。境界チェックが欠落しており、攻撃者が制御するデータでスタックが破損する可能性があります。この脆弱性は、7.1.2-16 および 6.9.13-41 で修正されています。(CVE-2026-28690)
ImageMagick は、デジタル画像の編集と操作に使用される無料のオープンソースソフトウェアです。バージョン 7.1.2-16 および 6.9.13-41より前では、チェックがないために、JBIG デコーダーに初期化されていないポインターデリファレンスの脆弱性が存在します。この脆弱性は、7.1.2-16 および 6.9.13-41 で修正されています。(CVE-2026-28691)
デジタル画像の編集および操作に使用される無料のオープンソースソフトウェアである ImageMagick に欠陥が見つかりました。リモートの攻撃者が、32 ビットの算術演算を使用する際の正しくない括弧による、MAT デコーダーのヒープオーバーリードの脆弱性を悪用する可能性があります。これにより、機密情報の漏洩やサービス拒否DoS状態が発生する可能性があります。CVE-2026-28692
デジタル画像の編集および操作に使用される無料のオープンソースソフトウェアである ImageMagick に欠陥が見つかりました。DIBデバイス非依存ビットマップコーダーコンポーネントにある整数オーバーフローの脆弱性が、リモートの攻撃者により悪用される可能性があります。特別に細工されたイメージファイルを処理することで、この欠陥が領域外の読み取りまたは書き込みを引き起こし、任意のコードの実行、権限昇格、情報漏えい、サービス拒否DoSを引き起こす可能性があります。CVE-2026-28693
デジタル画像の編集および操作に使用される無料のオープンソースソフトウェアである ImageMagick に欠陥が見つかりました。ローカルの攻撃者がこの脆弱性を悪用し、PNG 画像をエンコードする際に非常に大きな画像プロファイルを提供することで、この脆弱性を悪用する可能性があります。これにより、ヒープオーバーフローが発生し、サービス拒否 (DoS) につながり、正当なユーザーが影響を受けるシステムまたはアプリケーションを利用できなくなります。CVE-2026-30883
ImageMagick は、デジタル画像の編集と操作に使用される無料のオープンソースソフトウェアです。バージョン 7.1.2-16 および 6.9.13-41より前のバージョンでは、MagnifyImage は固定サイズのスタックバッファを使用しています。特定のイメージを使用するとき、このバッファをオーバーフローしてスタックを破損させる可能性があります。この脆弱性は、7.1.2-16 および 6.9.13-41 で修正されています。(CVE-2026-30929)
デジタル画像を編集および操作するための無料でオープンソースのソフトウェアである ImageMagick に欠陥が見つかりました。リモートの攻撃者がこの脆弱性を悪用して、特別に細工された画像をユーザーに提供することで、-wavelet-denoise操作で処理されたときに領域外のヒープ書き込みを引き起こす可能性があります。この問題はサービス拒否DoSにつながり、アプリケーションが不安定になったりクラッシュしたりする可能性があります。CVE-2026-30936
デジタル画像の編集および操作用のソフトウェアパッケージである ImageMagick に欠陥が見つかりました。非常に大きな画像を処理するときに、XWDX Windowsエンコーダーに整数オーバーフローの脆弱性が存在します。この欠陥により、メモリ割り当てが過小になり、ヒープへの領域外書き込みが発生する可能性があります。ローカルの攻撃者がこれを悪用して、サービス拒否DoSを引き起こしたり、データ整合性に影響を与えたりする可能性があります。
(CVE-2026-30937)
ImageMagick は、デジタル画像の編集と操作に使用される無料のオープンソースソフトウェアです。 7.1.2-16 および 6.9.13-41より前では、32 ビットシステムのオーバーフローにより、非常に大きな画像を処理するときに SFW デコーダーでクラッシュが発生する可能性があります。この脆弱性は、7.1.2-16 および 6.9.13-41 で修正されています。(CVE-2026-31853)
ImageMagick は、デジタル画像の編集と操作に使用される無料のオープンソースソフトウェアです。 7.1.2-16 および 6.9.13-41より前では、6el エンコーダーでメモリ割り当てが失敗した場合、スタック上のバッファの終端を超えて書き込むことが可能でした。この脆弱性は 7.1.2-16 および 6.9.13-41で修正されています。
(CVE-2026-32259)
Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
「dnf update ImageMagick --releasever 2023.10.20260330」または「dnf update --advisory ALAS2023-2026-1500 --releasever 2023.10.20260330」を実行してシステムを更新してください。参考資料
https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1500.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2026-28493.html
https://explore.alas.aws.amazon.com/CVE-2026-28494.html
https://explore.alas.aws.amazon.com/CVE-2026-28686.html
https://explore.alas.aws.amazon.com/CVE-2026-28687.html
https://explore.alas.aws.amazon.com/CVE-2026-28688.html
https://explore.alas.aws.amazon.com/CVE-2026-28689.html
https://explore.alas.aws.amazon.com/CVE-2026-28690.html
https://explore.alas.aws.amazon.com/CVE-2026-28691.html
https://explore.alas.aws.amazon.com/CVE-2026-28692.html
https://explore.alas.aws.amazon.com/CVE-2026-28693.html
https://explore.alas.aws.amazon.com/CVE-2026-30883.html
https://explore.alas.aws.amazon.com/CVE-2026-30929.html
https://explore.alas.aws.amazon.com/CVE-2026-30936.html
https://explore.alas.aws.amazon.com/CVE-2026-30937.html
プラグインの詳細
深刻度: High
ID: 304613
ファイル名: al2023_ALAS2023-2026-1500.nasl
バージョン: 1.2
タイプ: Local
エージェント: unix
公開日: 2026/4/1
更新日: 2026/4/3
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C
CVSS スコアのソース: CVE-2026-30929
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 6.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:amazon:linux:imagemagick-c%2b%2b-debuginfo, p-cpe:/a:amazon:linux:imagemagick-perl-debuginfo, p-cpe:/a:amazon:linux:imagemagick-debuginfo, p-cpe:/a:amazon:linux:imagemagick-debugsource, p-cpe:/a:amazon:linux:imagemagick-devel, p-cpe:/a:amazon:linux:imagemagick-c%2b%2b, p-cpe:/a:amazon:linux:imagemagick, p-cpe:/a:amazon:linux:imagemagick-libs, p-cpe:/a:amazon:linux:imagemagick-doc, p-cpe:/a:amazon:linux:imagemagick-perl, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:imagemagick-c%2b%2b-devel, p-cpe:/a:amazon:linux:imagemagick-libs-debuginfo
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/4/1
脆弱性公開日: 2026/3/9
参照情報
CVE: CVE-2026-28493, CVE-2026-28494, CVE-2026-28686, CVE-2026-28687, CVE-2026-28688, CVE-2026-28689, CVE-2026-28690, CVE-2026-28691, CVE-2026-28692, CVE-2026-28693, CVE-2026-30883, CVE-2026-30929, CVE-2026-30936, CVE-2026-30937, CVE-2026-31853, CVE-2026-32259
IAVB: 2026-B-0078