Amazon Linux 2 : ImageMagick、--advisory ALAS2-2026-3346 (ALAS-2026-3346)
medium Nessus プラグイン ID 319815
Language:
概要
リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。説明
リモートのホストにインストールされている ImageMagick のバージョンは、6.9.10.97-1 より前です。したがって、ALAS2-2026-3346 のアドバイザリに記載されている複数の脆弱性の影響を受けます。IPTC 出力ファイルを書き込む際に、悪意のある入力ファイルが、単一バイトの領域外読み取りを引き起こす可能性があります。( https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-7wff-wpr6-vmhmによる)(CVE-2026-42326)
PSD デコーダーにチェックがないため、PSD イメージをデコードするときにリスト長のリソースポリシーがバイパスされる可能性があります。他のセキュリティ制限は引き続き適用されます。(次のように:
https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-cwpj-h54c-xjpx) (CVE-2026-45031)
メタエンコーダーで of by one を使用すると、メタエンコーダーで単一バイトの領域外読み取りが引き起こされる可能性があります。( https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-cr6r-hmj8-pr7rによる)(CVE-2026-45358)
無効な connected-components::keep-top の値が無効であるため、接続されたコンポーネントの操作を実行する際に、ヒープバッファオーバーリードが発生する可能性があります(CVE-2026-45359)
多項式歪みを実行するとき、特定の引数を指定するときに24バイトの領域外オーバーリードが発生する可能性があります。(CVE-2026-45624)
MNG コーダーでチェックが欠落しているため、リスト制限ポリシーで許容されている以上の画像を読み込むことが可能で、過剰なリソース使用が発生します。(CVE-2026-45664)
異なる寸法で複数のイメージを読み取る際に、領域外のヒープ書き込みが発生する可能性があります。(次のように:
https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-36wm-hprc-mcf5) (CVE-2026-46520)
MIFF エンコーダーで LZMA 圧縮を使用するとき、チェックがないために領域外書き込みが発生する可能性があります。
( https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-jcqp-6r6f-3mfxによる)(CVE-2026-46521)
MIFF デコーダーでチェックが欠落しているため、細工されたファイルが無限ループを引き起こし、CPU 消耗を引き起こす可能性があります。(CVE-2026-46522)
細工された MSL 画像により、heap-use-after-free が発生する可能性があります。(次のように:
https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-5r4x-w6p5-222q) (CVE-2026-46523)
JP2 での不適切なチェックにより、特定のオプションを指定するときにヒープバッファが単一バイトの上書きを引き起こす可能性があります。(次のように:
https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-533m-3wf6-c33v) (CVE-2026-46559)
magick -distribute-cacheサービスに接続できる攻撃者が、サーバープロセスでヒープバッファオーバーライトを引き起こす可能性があります。(次のように:
https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-p93h-f2jc-477j) (CVE-2026-46692)
magick -distribute-cache サービスに接続できる攻撃者は、競合状態が満たされたときにサーバープロセス内のファイル記述子をハイジャックできます。(次のように:
https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-4g75-9r48-jf92) (CVE-2026-46693)
分散ピクセル キャッシュは、もともとチャレンジ応答認証モデルなしで動作するように設計されています。しかし、今日のセキュリティへの期待の高まりを受けて、弊社は実装を変更しました。
(CVE-2026-47165)
magick -distribute-cacheサービスに接続できる攻撃者が、サーバープロセスでヒープバッファオーバーリードを引き起こす可能性があります(次のように:
https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-6gxq-f64p-5w6f) (CVE-2026-47166)
Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
「yum update ImageMagick」または「yum update --advisory ALAS2-2026-3346」を実行してシステムを更新してください。参考資料
https://alas.aws.amazon.com//AL2/ALAS2-2026-3346.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2026-42326.html
https://explore.alas.aws.amazon.com/CVE-2026-45031.html
https://explore.alas.aws.amazon.com/CVE-2026-45358.html
https://explore.alas.aws.amazon.com/CVE-2026-45359.html
https://explore.alas.aws.amazon.com/CVE-2026-45624.html
https://explore.alas.aws.amazon.com/CVE-2026-45664.html
https://explore.alas.aws.amazon.com/CVE-2026-46520.html
https://explore.alas.aws.amazon.com/CVE-2026-46521.html
https://explore.alas.aws.amazon.com/CVE-2026-46522.html
https://explore.alas.aws.amazon.com/CVE-2026-46523.html
https://explore.alas.aws.amazon.com/CVE-2026-46559.html
https://explore.alas.aws.amazon.com/CVE-2026-46692.html
https://explore.alas.aws.amazon.com/CVE-2026-46693.html
プラグインの詳細
深刻度: Medium
ID: 319815
ファイル名: al2_ALAS-2026-3346.nasl
バージョン: 1.1
タイプ: Local
エージェント: unix
公開日: 2026/6/8
更新日: 2026/6/8
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: Medium
基本値: 5.3
現状値: 4.1
ベクトル: CVSS2#AV:L/AC:H/Au:M/C:C/I:N/A:C
CVSS スコアのソース: CVE-2026-47166
CVSS v3
リスクファクター: Medium
基本値: 5.7
現状値: 5.1
ベクトル: CVSS:3.0/AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:amazon:linux:imagemagick-debuginfo, p-cpe:/a:amazon:linux:imagemagick-devel, p-cpe:/a:amazon:linux:imagemagick-c%2b%2b, p-cpe:/a:amazon:linux:imagemagick, p-cpe:/a:amazon:linux:imagemagick-doc, p-cpe:/a:amazon:linux:imagemagick-perl, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:imagemagick-c%2b%2b-devel
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/6/8
脆弱性公開日: 2026/5/18
参照情報
CVE: CVE-2026-42326, CVE-2026-45031, CVE-2026-45358, CVE-2026-45359, CVE-2026-45624, CVE-2026-45664, CVE-2026-46520, CVE-2026-46521, CVE-2026-46522, CVE-2026-46523, CVE-2026-46559, CVE-2026-46692, CVE-2026-46693, CVE-2026-47165, CVE-2026-47166