Amazon Linux 2023 : ImageMagick、ImageMagick-c++、ImageMagick-c++-devel (ALAS2023-2026-1611)

medium Nessus プラグイン ID 311318

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2026-1611 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

ImageMagick は、デジタル画像の編集と操作に使用される無料のオープンソースソフトウェアです。7.1.2-189 および 6.9.13-44 より前のバージョンでは、「Magick」が XML ファイルを解析する際に、単一のゼロバイトが領域外に書き込まれる可能性があります。この問題はバージョン 6.9.13-44 および 7.1.2-19 で修正されています。(CVE-2026-33899)

ImageMagick は、デジタル画像の編集と操作に使用される無料のオープンソースソフトウェアです。7.1.2-19 および 6.9.13-44 の両方より前のバージョンでは、「sample:offset」定義によって特定のオフセットが設定されると、-sample 操作に領域外読み取りが起こり、領域外読み取りが引き起こされる可能性があります。この問題はバージョン 6.9.13-44 および 7.1.2-19 で修正されています。(CVE-2026-33905)

ImageMagick は、デジタル画像の編集と操作に使用される無料のオープンソースソフトウェアです。7.1.2-19 および 6.9.13-44 以前の両方のバージョンで、Magick は「DestroyXMLTree()」関数を通じて XML ツリーのメモリを解放しますが、このプロセスは深さ制限なしで再帰的に実行されます。Magick が深くネスト化された構造のある XML ファイルを処理すると、スタックメモリを使い果たし、サービス拒否(DoS)攻撃が発生します。この問題はバージョン 6.9.13-44 および 7.1.2-19 で修正されています。(CVE-2026-33908)

ImageMagick は、デジタル画像の編集と操作に使用される無料のオープンソースソフトウェアです。7.1.2-19より前のバージョンでは、細工された画像により、yamlまたはjson出力を書き込むときに領域外のヒープ書き込みが発生し、クラッシュが発生する可能性があります。この問題はバージョン 7.1.2-19で修正されています。(CVE-2026-40169)

ImageMagick は、デジタル画像の編集と操作に使用される無料のオープンソースソフトウェアです。7.1.2-19 と 6.9.13-44 の両方より下のバージョンには、ユーザーが無効なサンプリングインデックスを指定したときの JP2 エンコーダーのヒープ領域外書き込みが含まれます。この問題は、バージョン 6.9.13-44 および 7.1.2-19 で修正されました。
(CVE-2026-40310)

ImageMagick は、デジタル画像の編集と操作に使用される無料のオープンソースソフトウェアです。7.1.2-19 より下のバージョンおよび6.9.13-44 には、ヒープの use-after-free の脆弱性が含まれています。これにより、無効な XMP プロファイルからの値の読み取りおよび印刷時にクラッシュが発生する可能性があります。この問題はバージョン 6.9.13-44 および 7.1.2-19 で修正されています。(CVE-2026-40311)

7.1.2-19 より前の ImageMagick には、無効なインデックスを持つ接続コンポーネントのアーティファクトを処理するとき、ConnectedComponentsImage() に領域外アクセスの脆弱性があります。攻撃者が、CLI を介して無効な形式の接続コンポーネント定義を指定することで、アクセス違反を発生させ、サービス拒否を引き起こしたり、コードを実行したりする可能性があります。(CVE-2026-56370)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

「dnf update ImageMagick --releasever 2023.11.20260427」または「dnf update --advisory ALAS2023-2026-1611 --releasever 2023.11.20260427」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1611.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2026-33899.html

https://explore.alas.aws.amazon.com/CVE-2026-33905.html

https://explore.alas.aws.amazon.com/CVE-2026-33908.html

https://explore.alas.aws.amazon.com/CVE-2026-40169.html

https://explore.alas.aws.amazon.com/CVE-2026-40310.html

https://explore.alas.aws.amazon.com/CVE-2026-40311.html

https://explore.alas.aws.amazon.com/CVE-2026-56370.html

プラグインの詳細

深刻度: Medium

ID: 311318

ファイル名: al2023_ALAS2023-2026-1611.nasl

バージョン: 1.2

タイプ: Local

エージェント: unix

公開日: 2026/4/30

更新日: 2026/6/30

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.9

パーセンタイル: 58.02

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-56370

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 4.8

Threat Score: 1.1

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N

脆弱性情報

CPE: p-cpe:/a:amazon:linux:imagemagick-c%2b%2b-debuginfo, p-cpe:/a:amazon:linux:imagemagick-perl-debuginfo, p-cpe:/a:amazon:linux:imagemagick-debuginfo, p-cpe:/a:amazon:linux:imagemagick-debugsource, p-cpe:/a:amazon:linux:imagemagick-devel, p-cpe:/a:amazon:linux:imagemagick-c%2b%2b, p-cpe:/a:amazon:linux:imagemagick, p-cpe:/a:amazon:linux:imagemagick-libs, p-cpe:/a:amazon:linux:imagemagick-doc, p-cpe:/a:amazon:linux:imagemagick-perl, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:imagemagick-c%2b%2b-devel, p-cpe:/a:amazon:linux:imagemagick-libs-debuginfo

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/4/30

脆弱性公開日: 2026/4/13

参照情報

CVE: CVE-2026-33899, CVE-2026-33905, CVE-2026-33908, CVE-2026-40169, CVE-2026-40310, CVE-2026-40311, CVE-2026-56370