検出

RHEL 5:ImageMagick(RHSA-2012:0301)

high Nessus プラグイン ID 58055

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティの問題と複数のバグを修正する更新済みの ImageMagick パッケージが、Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

ImageMagick は、複数の画像形式の読み書きを行うことのできる、X Window System 用の画像表示・操作ツールです。

ImageMagick ユーティリティが ImageMagick 構成ファイルを、現在の作業ディレクトリから読み込もうとすることが見つかっています。特別に細工された ImageMagick 構成ファイルが含まれている攻撃者の制御下にあるディレクトリでユーザーが ImageMagick ユーティリティを実行すると、ユーティリティが任意のコードを実行する可能性があります。(CVE-2010-4167)

この更新は以下のバグも修正します:

* 以前は「identify -verbose」コマンドは、利用できるイメージ情報がない場合にアサーションの失敗を招いていました。上流パッチが適用され、 GetImageOption() の呼び出しは正常になっています。現在、「identify -verbose」コマンドは、利用できるイメージ情報がない場合でも正しく動作します。(BZ#502626)

* 以前は、セマフォデータ型の使用が正しくない場合、デッドロックを招いていました。その結果、ImageMagick ユーティリティが、JPEG ファイルをポータブル・ドキュメント・フォーマット(PDF)ファイルに変換する際に、応答不能になる可能性があります。パッチが適用され、デッドロックの問題は対処された今は、JPEG ファイルを問題なく PDF ファイルに変換できます。(BZ#530592)

* 以前は、「convert」コマンドを「-color」オプションで実行すると、メモリ割り当てエラーが発生し、失敗していました。ソースコードが修正され、メモリ割り当ての問題は修正されています。現在は「-color」オプションで「convert」コマンドを実行しても、正しく動作します。
(BZ#616538)

* 以前は、破損した GIF ファイルで「display」コマンドを実行すると、ImageMagick が応答不能になる可能性がありました。ソースコードが修正され、この問題は回避されてします。現在、ImageMagick は、説明されているシナリオに遭遇すると、エラーメッセージを生成します。現在は、ファイルセレクターが開かれ、、ユーザーが表示するイメージを選択できます。(BZ#693989)

* この更新以前には、「convert」コマンドは、回転された PDF ファイルを適切に処理していませんでした。その結果、出力はポートレイトとしてレンダリングされ、コンテンツはクロップされていました。この更新により、PDF のレンダリングジオメトリが修正され、「convert」コマンドが生成する出力はランドスケープとして適切にレンダリングされるようになりました。(BZ#694922)

ImageMagick の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。
この更新を有効にするには、ImageMagick のすべての実行中のインスタンスを再起動する必要があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?84e3a967

https://access.redhat.com/errata/RHSA-2012:0301

https://access.redhat.com/security/updates/classification/#low

https://bugzilla.redhat.com/show_bug.cgi?id=580535

https://bugzilla.redhat.com/show_bug.cgi?id=652860

プラグインの詳細

深刻度: High

ID: 58055

ファイル名: redhat-RHSA-2012-0301.nasl

バージョン: 1.22

タイプ: local

エージェント: unix

公開日: 2012/2/21

更新日: 2024/4/27

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.9

現状値: 5.1

ベクトル: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2010-4167

CVSS v3

リスクファクター: High

基本値: 7.3

現状値: 6.4

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:imagemagick, p-cpe:/a:redhat:enterprise_linux:imagemagick-c%2b%2b, p-cpe:/a:redhat:enterprise_linux:imagemagick-c%2b%2b-devel, p-cpe:/a:redhat:enterprise_linux:imagemagick-devel, p-cpe:/a:redhat:enterprise_linux:imagemagick-perl, cpe:/o:redhat:enterprise_linux:5

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2012/2/21

脆弱性公開日: 2010/11/22

参照情報

CVE: CVE-2010-4167

BID: 45044

RHSA: 2012:0301