openSUSE セキュリティ更新:ImageMagick(openSUSE-2016-883)
critical Nessus プラグイン ID 92487
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
ImageMagick が更新され、66 個のセキュリティ問題が修正されました。これらのセキュリティの問題が修正されました:
- CVE-2014-9810:dpx ファイルハンドラーの SEGV。(bsc#983803)。
- CVE-2014-9811:xwd ファイルハンドラーのクラッシュ(bsc#984032)。
- CVE-2014-9812:ps ファイル処理における NULL ポインターデリファレンス(bsc#984137)。
- CVE-2014-9813:破損している viff ファイルのクラッシュ(bsc#984035)。
- CVE-2014-9814:wpg ファイル処理の NULL ポインターデリファレンス(bsc#984193)。
- CVE-2014-9815:破損した wpg ファイルのクラッシュ(bsc#984372)。
- CVE-2014-9816:viff 画像の領域外アクセス(bsc#984398)。
- CVE-2014-9817:pdb ファイル処理のヒープバッファオーバーフロー(bsc#984400)。
- CVE-2014-9818:無効な形式の sun ファイルの領域外アクセス(bsc#984181)。
- CVE-2014-9819:palm ファイルのヒープオーバーフロー(bsc#984142)。
- CVE-2014-9830:破損した sun ファイルの処理(bsc#984135)。
- CVE-2014-9831:破損した wpg ファイルの処理(bsc#984375)。
- CVE-2014-9850:不適切なスレッド制限ロジック(bsc#984149)。
- CVE-2014-9851:リソースブロック解析時のクラッシュ(bsc#984160)。
- CVE-2014-9852:破棄された後のオブジェクトの不適切な使用(bsc#984191)。
- CVE-2014-9853:rle ファイル処理のメモリリーク(bsc#984408)。
- CVE-2015-8902:PDB ファイルの DoS(CPU の消費)(bsc#983253)。
- CVE-2015-8903:vicar のサービス拒否(cpu)(bsc#983259)。
- CVE-2015-8900:HDR ファイルの DoS(無限ループ)(bsc#983232)。
- CVE-2015-8901:MIFF ファイルの DoS(無限ループ)(bsc#983234)。
- CVE-2016-5688:ImageMagick WPG のさまざまな無効なメモリ読み取り(bsc#985442)。
- CVE-2014-9834:pict ファイルのヒープオーバーフロー(bsc#984436)。
- CVE-2014-9806:破損したファイルによるファイル記述子の漏洩を防止。(bsc#983774)。
- CVE-2016-5687:DDS コーダーでの領域外読み取り(bsc#985448)。
- CVE-2014-9838:magick/cache.c におけるメモリ不足によるクラッシュ(bsc#984370)。
- CVE-2014-9854:TIFF 画像の識別中にメモリが埋まる(bsc#984184)。
- CVE-2015-8898:magick/constitute.c における NULL ポインターアクセスの防止(bsc#983746)。
- CVE-2014-9833:psd ファイルのヒープオーバーフロー(bsc#984406)。
- CVE-2015-8894:coders/tga.c:221 の二重解放(bsc#983523)。
- CVE-2015-8895:coders/icon.c における整数およびバッファオーバーフロー(bsc#983527)。
- CVE-2015-8896:coders/pict.c:2000 の二重解放 / 整数切り捨ての問題(bsc#983533)。
- CVE-2015-8897:SpliceImage における領域外エラー(bsc#983739)。
- CVE-2016-5690:DCM コーダーにおける不適切な for loop(bsc#985451)。
- CVE-2016-5691:dcm コーダーにおける pixel.red/green/blue のチェック(bsc#985456)。
- CVE-2014-9836:xpm ファイル処理におけるクラッシュ(bsc#984023)。
- CVE-2014-9808:破損した dpc 画像による SEGV。
(bsc#983796)。
- CVE-2014-9821:pnm ファイルにおけるヒープオーバーフローの回避。
(bsc#984014)。
- CVE-2014-9820:xpm ファイルにおけるヒープオーバーフロー(bsc#984150)。
- CVE-2014-9823:palm ファイルにおけるヒープオーバーフロー(bsc#984401)。
- CVE-2014-9822:quantum ファイルにおけるヒープオーバーフロー(bsc#984187)。
- CVE-2014-9825:破損した psd ファイルにおけるヒープオーバーフロー(bsc#984427)。
- CVE-2014-9824:psd ファイルにおけるヒープオーバーフロー(bsc#984185)。
- CVE-2014-9809:破損した xwd 画像による SEGV。
(bsc#983799)。
- CVE-2014-9826:sun ファイルにおける不適切なエラー処理(bsc#984186)。
- CVE-2014-9843:DecodePSDPixels における不適切な境界検査(bsc#984179)。
- CVE-2014-9842:psd 処理におけるメモリリーク(bsc#984374)。
- CVE-2014-9841:psd 処理における例外のスロー(bsc#984172)。
- CVE-2014-9840:palm ファイルの領域外アクセス(bsc#984433)。
- CVE-2014-9847:JNG デコーダーの「以前の」画像の不適切な処理(bsc#984144)。
- CVE-2014-9846:rle ファイルでのオーバーフローを防ぐためのチェックの追加。(bsc#983521)。
- CVE-2014-9845:破損した dib ファイルによるクラッシュ(bsc#984394)。
- CVE-2014-9844:rle ファイルの領域外問題(bsc#984373)。
- CVE-2014-9849:png コーダーにおけるクラッシュ(bsc#984018)。
- CVE-2014-9848:quantum 管理におけるメモリリーク(bsc#984404)。
- CVE-2014-9807:pdb コーダーの二重解放。(bsc#983794)。
- CVE-2014-9829:sun ファイルの領域外アクセス(bsc#984409)。
- CVE-2014-9832:pcx ファイルにおけるヒープオーバーフロー(bsc#984183)。
- CVE-2014-9805:破損した pnm ファイルによる SEGV。
(bsc#983752)。
- CVE-2016-4564:ImageMagick の MagickCore/draw.c にある DrawImage 関数は、次のトークンの検索試行時に不適切な関数呼び出しを行いました。これにより、リモートの攻撃者は細工されたファイルを通じて、サービス拒否を引き起こす(バッファオーバーフローとアプリケーションのクラッシュ)か、その他の詳細不明の影響を及ぼすことが可能でした(bsc#983308)。
- CVE-2016-4563:ImageMagick の MagickCore/draw.c にある TraceStrokePolygon 関数は、BezierQuantum 値と特定のストロークデータ間の関係を不適切に処理しました。これにより、リモートの攻撃者は細工されたファイルを通じて、サービス拒否を引き起こす(バッファオーバーフローとアプリケーションのクラッシュ)か、その他の詳細不明の影響を及ぼすことが可能でした(bsc#983305)。
- CVE-2016-4562:ImageMagick の MagickCore/draw.c にある DrawDashPolygon 関数は、特定の vertex 整数データの計算を不適切に処理しました。これにより、リモートの攻撃者は細工されたファイルを通じて、サービス拒否を引き起こす(バッファオーバーフローとアプリケーションのクラッシュ)か、その他の詳細不明の影響を及ぼすことが可能でした(bsc#983292)。
- CVE-2014-9839:magick/colormap-private.h の理論的領域外アクセス(bsc#984379)。
- CVE-2016-5689:dcm コーダーにおける NULL ポインターデリファレンス(bsc#985460)。
- CVE-2014-9837:追加の PNM サニティチェック(bsc#984166)。
- CVE-2014-9835:wpf ファイルのヒープオーバーフロー(bsc#984145)。
- CVE-2014-9828:破損した(色が多すぎる)psd ファイル(bsc#984028)。
- CVE-2016-5841:RCE につながる可能性のある整数オーバーフロー(bnc#986609)。
- CVE-2016-5842:メモリリークにつながる可能性のある、MagickCore/property.c:1396 での領域外読み取り(bnc#986608)。
この更新は、SUSE:SLE-12 からインポートされました:更新プロジェクトを更新します。
ソリューション
影響を受ける ImageMagick パッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=983232
https://bugzilla.opensuse.org/show_bug.cgi?id=983234
https://bugzilla.opensuse.org/show_bug.cgi?id=983253
https://bugzilla.opensuse.org/show_bug.cgi?id=983259
https://bugzilla.opensuse.org/show_bug.cgi?id=983292
https://bugzilla.opensuse.org/show_bug.cgi?id=983305
https://bugzilla.opensuse.org/show_bug.cgi?id=983308
https://bugzilla.opensuse.org/show_bug.cgi?id=983521
https://bugzilla.opensuse.org/show_bug.cgi?id=983523
https://bugzilla.opensuse.org/show_bug.cgi?id=983527
https://bugzilla.opensuse.org/show_bug.cgi?id=983533
https://bugzilla.opensuse.org/show_bug.cgi?id=983739
https://bugzilla.opensuse.org/show_bug.cgi?id=983746
https://bugzilla.opensuse.org/show_bug.cgi?id=983752
https://bugzilla.opensuse.org/show_bug.cgi?id=983774
https://bugzilla.opensuse.org/show_bug.cgi?id=983794
https://bugzilla.opensuse.org/show_bug.cgi?id=983796
https://bugzilla.opensuse.org/show_bug.cgi?id=983799
https://bugzilla.opensuse.org/show_bug.cgi?id=983803
https://bugzilla.opensuse.org/show_bug.cgi?id=984014
https://bugzilla.opensuse.org/show_bug.cgi?id=984018
https://bugzilla.opensuse.org/show_bug.cgi?id=984023
https://bugzilla.opensuse.org/show_bug.cgi?id=984028
https://bugzilla.opensuse.org/show_bug.cgi?id=984032
https://bugzilla.opensuse.org/show_bug.cgi?id=984035
https://bugzilla.opensuse.org/show_bug.cgi?id=984135
https://bugzilla.opensuse.org/show_bug.cgi?id=984137
https://bugzilla.opensuse.org/show_bug.cgi?id=984142
https://bugzilla.opensuse.org/show_bug.cgi?id=984144
https://bugzilla.opensuse.org/show_bug.cgi?id=984145
https://bugzilla.opensuse.org/show_bug.cgi?id=984149
https://bugzilla.opensuse.org/show_bug.cgi?id=984150
https://bugzilla.opensuse.org/show_bug.cgi?id=984160
https://bugzilla.opensuse.org/show_bug.cgi?id=984166
https://bugzilla.opensuse.org/show_bug.cgi?id=984172
https://bugzilla.opensuse.org/show_bug.cgi?id=984179
https://bugzilla.opensuse.org/show_bug.cgi?id=984181
https://bugzilla.opensuse.org/show_bug.cgi?id=984183
https://bugzilla.opensuse.org/show_bug.cgi?id=984184
https://bugzilla.opensuse.org/show_bug.cgi?id=984185
https://bugzilla.opensuse.org/show_bug.cgi?id=984186
https://bugzilla.opensuse.org/show_bug.cgi?id=984187
https://bugzilla.opensuse.org/show_bug.cgi?id=984191
https://bugzilla.opensuse.org/show_bug.cgi?id=984193
https://bugzilla.opensuse.org/show_bug.cgi?id=984370
https://bugzilla.opensuse.org/show_bug.cgi?id=984372
https://bugzilla.opensuse.org/show_bug.cgi?id=984373
https://bugzilla.opensuse.org/show_bug.cgi?id=984374
https://bugzilla.opensuse.org/show_bug.cgi?id=984375
https://bugzilla.opensuse.org/show_bug.cgi?id=984379
https://bugzilla.opensuse.org/show_bug.cgi?id=984394
https://bugzilla.opensuse.org/show_bug.cgi?id=984398
https://bugzilla.opensuse.org/show_bug.cgi?id=984400
https://bugzilla.opensuse.org/show_bug.cgi?id=984401
https://bugzilla.opensuse.org/show_bug.cgi?id=984404
https://bugzilla.opensuse.org/show_bug.cgi?id=984406
https://bugzilla.opensuse.org/show_bug.cgi?id=984408
https://bugzilla.opensuse.org/show_bug.cgi?id=984409
https://bugzilla.opensuse.org/show_bug.cgi?id=984427
https://bugzilla.opensuse.org/show_bug.cgi?id=984433
https://bugzilla.opensuse.org/show_bug.cgi?id=984436
https://bugzilla.opensuse.org/show_bug.cgi?id=985442
https://bugzilla.opensuse.org/show_bug.cgi?id=985448
https://bugzilla.opensuse.org/show_bug.cgi?id=985451
https://bugzilla.opensuse.org/show_bug.cgi?id=985456
https://bugzilla.opensuse.org/show_bug.cgi?id=985460
プラグインの詳細
深刻度: Critical
ID: 92487
ファイル名: openSUSE-2016-883.nasl
バージョン: 2.6
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2016/7/21
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: Critical
基本値: 9.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:imagemagick, p-cpe:/a:novell:opensuse:imagemagick-debuginfo, p-cpe:/a:novell:opensuse:imagemagick-debugsource, p-cpe:/a:novell:opensuse:imagemagick-devel, p-cpe:/a:novell:opensuse:imagemagick-devel-32bit, p-cpe:/a:novell:opensuse:imagemagick-extra, p-cpe:/a:novell:opensuse:imagemagick-extra-debuginfo, p-cpe:/a:novell:opensuse:libmagick%2b%2b-6_q16-3, p-cpe:/a:novell:opensuse:libmagick%2b%2b-6_q16-3-32bit, p-cpe:/a:novell:opensuse:libmagick%2b%2b-6_q16-3-debuginfo, p-cpe:/a:novell:opensuse:libmagick%2b%2b-6_q16-3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libmagick%2b%2b-devel, p-cpe:/a:novell:opensuse:libmagick%2b%2b-devel-32bit, p-cpe:/a:novell:opensuse:libmagickcore-6_q16-1, p-cpe:/a:novell:opensuse:libmagickcore-6_q16-1-32bit, p-cpe:/a:novell:opensuse:libmagickcore-6_q16-1-debuginfo, p-cpe:/a:novell:opensuse:libmagickcore-6_q16-1-debuginfo-32bit, p-cpe:/a:novell:opensuse:libmagickwand-6_q16-1, p-cpe:/a:novell:opensuse:libmagickwand-6_q16-1-32bit, p-cpe:/a:novell:opensuse:libmagickwand-6_q16-1-debuginfo, p-cpe:/a:novell:opensuse:libmagickwand-6_q16-1-debuginfo-32bit, p-cpe:/a:novell:opensuse:perl-perlmagick, p-cpe:/a:novell:opensuse:perl-perlmagick-debuginfo, cpe:/o:novell:opensuse:42.1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2016/7/20
参照情報
CVE: CVE-2014-9805, CVE-2014-9806, CVE-2014-9807, CVE-2014-9808, CVE-2014-9809, CVE-2014-9810, CVE-2014-9811, CVE-2014-9812, CVE-2014-9813, CVE-2014-9814, CVE-2014-9815, CVE-2014-9816, CVE-2014-9817, CVE-2014-9818, CVE-2014-9819, CVE-2014-9820, CVE-2014-9821, CVE-2014-9822, CVE-2014-9823, CVE-2014-9824, CVE-2014-9825, CVE-2014-9826, CVE-2014-9828, CVE-2014-9829, CVE-2014-9830, CVE-2014-9831, CVE-2014-9832, CVE-2014-9833, CVE-2014-9834, CVE-2014-9835, CVE-2014-9836, CVE-2014-9837, CVE-2014-9838, CVE-2014-9839, CVE-2014-9840, CVE-2014-9841, CVE-2014-9842, CVE-2014-9843, CVE-2014-9844, CVE-2014-9845, CVE-2014-9846, CVE-2014-9847, CVE-2014-9848, CVE-2014-9849, CVE-2014-9850, CVE-2014-9851, CVE-2014-9852, CVE-2014-9853, CVE-2014-9854, CVE-2015-8894, CVE-2015-8895, CVE-2015-8896, CVE-2015-8897, CVE-2015-8898, CVE-2015-8900, CVE-2015-8901, CVE-2015-8902, CVE-2015-8903, CVE-2016-4562, CVE-2016-4563, CVE-2016-4564, CVE-2016-5687, CVE-2016-5688, CVE-2016-5689, CVE-2016-5690, CVE-2016-5691, CVE-2016-5841, CVE-2016-5842