検出

Scientific Linux セキュリティ更新:SL5.x i386/x86_64 の ImageMagick

medium Nessus プラグイン ID 61255

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

ImageMagick は、複数の画像形式の読み書きを行うことのできる、X Window System 用の画像表示・操作ツールです。

ImageMagick ユーティリティが ImageMagick 構成ファイルを、現在の作業ディレクトリから読み込もうとすることが見つかっています。特別に細工された ImageMagick 構成ファイルが含まれている攻撃者の制御下にあるディレクトリでユーザーが ImageMagick ユーティリティを実行すると、ユーティリティが任意のコードを実行する可能性があります。(CVE-2010-4167)

この更新は以下のバグも修正します:

- 以前は「identify -verbose」コマンドは、利用可能なイメージ情報がない場合にアサーションの失敗を引き起こしました。上流パッチが適用され、 GetImageOption() の呼び出しは正常になっています。現在、「identify -verbose」コマンドは、利用できるイメージ情報がない場合でも正しく動作します。

- 以前は、セマフォデータ型の使用が正しくない場合、デッドロックを引き起こしました。その結果、ImageMagick ユーティリティが、JPEG ファイルをポータブル・ドキュメント・フォーマット(PDF)ファイルに変換する際に、応答不能になる可能性があります。パッチが適用され、デッドロックの問題は対処された今は、JPEG ファイルを問題なく PDF ファイルに変換できます。

- 以前は、「convert」コマンドを「-color」オプションで実行すると、メモリ割り当てエラーが発生し、失敗していました。
 ソースコードが修正され、メモリ割り当ての問題は修正されています。現在は「-color」オプションで「convert」コマンドを実行しても、正しく動作します。

- 以前は、破損した GIF ファイルで「display」コマンドを実行すると、ImageMagick が応答不能になる可能性がありました。ソースコードが修正され、この問題は回避されてします。
 現在、ImageMagick は、説明されているシナリオに遭遇すると、エラーメッセージを生成します。現在は、ファイルセレクターが開かれ、、ユーザーが表示するイメージを選択できます。

- この更新以前には、「convert」コマンドは、回転された PDF ファイルを適切に処理していませんでした。その結果、出力はポートレイトとしてレンダリングされ、コンテンツはクロップされていました。この更新により、PDF のレンダリングジオメトリが修正され、「convert」コマンドが生成する出力はランドスケープとして適切にレンダリングされるようになりました。

ImageMagick の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。
この更新を有効にするには、ImageMagick のすべての実行中のインスタンスを再起動する必要があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?9a615c37

プラグインの詳細

深刻度: Medium

ID: 61255

ファイル名: sl_20120221_ImageMagick_on_SL5_x.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2012/8/1

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.9

ベクトル: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:imagemagick, p-cpe:/a:fermilab:scientific_linux:imagemagick-c%2b%2b, p-cpe:/a:fermilab:scientific_linux:imagemagick-c%2b%2b-devel, p-cpe:/a:fermilab:scientific_linux:imagemagick-debuginfo, p-cpe:/a:fermilab:scientific_linux:imagemagick-devel, p-cpe:/a:fermilab:scientific_linux:imagemagick-perl, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2012/2/21

脆弱性公開日: 2010/11/22

参照情報

CVE: CVE-2010-4167