Debian dla-4652 : gdcm-doc - セキュリティ更新

high Nessus プラグイン ID 323102

概要

リモートの Debian ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 11 ホストには、dla-4652 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-4652-1 [email protected] https://www.debian.org/lts/security/Emmanuel Arias 2026 年 6 月 26 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

パッケージ : gdcm バージョン : 3.0.8-2+deb11u1 CVE ID : CVE-2024-22373 CVE-2024-22391 CVE-2024-25569 CVE-2025-11266 CVE-2025-48429 CVE-2025-52582 CVE-2025-53618 CVE-2025-53619 CVE-2026-3650 Debian バグ : 1070387 1122862 1123576 1123587 1123589 1132042

DICOM 医療ファイルを扱うための C++ ライブラリである gdcm において、複数の脆弱性が発見されました:

CVE-2024-22373

JPEG2000Codec::DecodeByStreamsCommon 機能に領域外書き込みの脆弱性があります。特別に細工された DICOM ファイルにより、ヒープバッファオーバーフローが発生する可能性があります。攻撃者が悪意のあるファイルを提供してこの脆弱性を利用する可能性があります。

CVE-2024-22391

LookupTable::SetLUT 機能にヒープベースのバッファオーバーフローの脆弱性が存在します。特別に細工された malformed ファイルにより、メモリ破損が発生する可能性があります。攻撃者が悪意のあるファイルを提供してこの脆弱性を利用する可能性があります。

CVE-2024-25569

RAWCodec::DecodeBytes 機能に領域外読み取りの脆弱性があります。特別に細工された DICOM ファイルにより、領域外読み取りが引き起こされる可能性があります。攻撃者が悪意のあるファイルを提供してこの脆弱性を利用する可能性があります。

CVE-2025-11266

カプセル化された PixelData フラグメント (複数のフラグメントとして保存された圧縮イメージデータ) を含む不正な形式の DICOM ファイルの解析において、領域外書き込みの脆弱性が存在します。この脆弱性により、バッファインデックス処理における符号なし整数アンダーフローに起因する領域外メモリアクセスによって、セグメンテーション違反が発生します。これはファイル入力を通じて悪用可能です: 細工された悪意のある DICOM ファイルを開くだけでクラッシュが発生し、サービス拒否状態を引き起こします。

CVE-2025-48429

RLECodec::DecodeByStreams 機能に領域外読み取りの脆弱性があります。特別に細工された DICOM ファイルにより、ヒープデータが漏洩する可能性があります。攻撃者が悪意のあるファイルを提供してこの脆弱性を利用する可能性があります。

CVE-2025-52582

Overlay::GrabOverlayFromPixelData 機能に領域外読み取りの脆弱性があります。特別に細工された DICOM ファイルにより、情報漏洩が発生する可能性があります。攻撃者が悪意のあるファイルを提供してこの脆弱性を利用する可能性があります。

CVE-2025-53618

JPEGBITSCodec::InternalCode 機能に領域外読み取りの脆弱性があります。特別に細工された DICOM ファイルにより、情報漏洩が発生する可能性があります。攻撃者が悪意のあるファイルを提供してこの脆弱性を利用する可能性があります。grayscale_convert 関数は、画像ピクセルデータの解釈方法を指定する悪意のある DICOM ファイルの値に基づいて呼び出されます。

CVE-2025-53619

JPEGBITSCodec::InternalCode 機能に領域外読み取りの脆弱性があります。特別に細工された DICOM ファイルにより、情報漏洩が発生する可能性があります。攻撃者が悪意のあるファイルを提供してこの脆弱性を利用する可能性があります。null_convert 関数は、画像ピクセルデータの解釈方法を指定する悪意のある DICOM ファイルの値に基づいて呼び出されます。

CVE-2026-3650

ファイルメタ情報に非標準の VR タイプを含む不正な形式の DICOM ファイルを解析するときに、メモリリークが発生します。この脆弱性は、大量のメモリ割り当てとリソース枯渇を引き起こし、サービス拒否状態を引き起こします。悪意を持って細工されたファイルは、適切に解放されないまま単一の読み取り操作でヒープを満たす可能性があります。

Debian 11 bullseye においては、これらの問題はバージョン 3.0.8-2+deb11u1 で修正されました。

お使いの gdcm パッケージをアップグレードすることを推奨します。

gdcm の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/gdcm

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 署名

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

gdcm-doc パッケージをアップグレードしてください。

参考資料

https://packages.debian.org/source/bullseye/gdcm

https://security-tracker.debian.org/tracker/CVE-2024-22373

https://security-tracker.debian.org/tracker/CVE-2024-22391

https://security-tracker.debian.org/tracker/CVE-2024-25569

https://security-tracker.debian.org/tracker/CVE-2025-11266

https://security-tracker.debian.org/tracker/CVE-2025-48429

https://security-tracker.debian.org/tracker/CVE-2025-52582

https://security-tracker.debian.org/tracker/CVE-2025-53618

https://security-tracker.debian.org/tracker/CVE-2025-53619

https://security-tracker.debian.org/tracker/CVE-2026-3650

https://security-tracker.debian.org/tracker/source-package/gdcm

プラグインの詳細

深刻度: High

ID: 323102

ファイル名: debian_DLA-4652.nasl

バージョン: 1.1

タイプ: Local

エージェント: unix

公開日: 2026/6/26

更新日: 2026/6/26

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.9

パーセンタイル: 57.12

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-22391

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: High

Base Score: 8.7

Threat Score: 8.7

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

CVSS スコアのソース: CVE-2026-3650

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:libgdcm-java, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:libvtkgdcm-dev, p-cpe:/a:debian:debian_linux:libgdcm-dev, p-cpe:/a:debian:debian_linux:libvtkgdcm3.0, p-cpe:/a:debian:debian_linux:gdcm-doc, p-cpe:/a:debian:debian_linux:libgdcm3.0, p-cpe:/a:debian:debian_linux:libvtkgdcm-tools, p-cpe:/a:debian:debian_linux:libgdcm-cil, p-cpe:/a:debian:debian_linux:libgdcm-tools, p-cpe:/a:debian:debian_linux:libvtkgdcm-cil, p-cpe:/a:debian:debian_linux:python3-gdcm, p-cpe:/a:debian:debian_linux:python3-vtkgdcm, p-cpe:/a:debian:debian_linux:libvtkgdcm-java

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/6/26

脆弱性公開日: 2024/4/25

参照情報

CVE: CVE-2024-22373, CVE-2024-22391, CVE-2024-25569, CVE-2025-11266, CVE-2025-48429, CVE-2025-52582, CVE-2025-53618, CVE-2025-53619, CVE-2026-3650