SUSE SLES11 セキュリティ更新:ImageMagick(SUSE-SU-2016:1782-1)

high Nessus プラグイン ID 93178
New! Vulnerability Priority Rating (VPR)

Tenable では、すべての脆弱性に対して動的な VPR が計算されます。VPR は脆弱性の情報を、脅威インテリジェンスや機械学習アルゴリズムと組み合わせて、攻撃時に最も悪用される可能性の高い脆弱性を予測します。詳細は、 「VPR とは何で、CVSS とはどう違うのか」を参照してください。

VPR スコア : 5.9

概要

リモート SuSE ホストに1つ以上のセキュリティ更新がありません。

説明

ImageMagick が更新され、55 個のセキュリティ問題が修正されました。

これらのセキュリティの問題が修正されました:

- CVE-2014-9810:dpx ファイルハンドラーの SEGV(bsc#983803)。

- CVE-2014-9811:xwd ファイルハンドラーのクラッシュ(bsc#984032)。

- CVE-2014-9812:ps ファイル処理における NULL ポインターデリファレンス(bsc#984137)。

- CVE-2014-9813:破損している viff ファイルのクラッシュ(bsc#984035)。

- CVE-2014-9814:wpg ファイル処理の NULL ポインターデリファレンス(bsc#984193)。

- CVE-2014-9815:破損した wpg ファイルのクラッシュ(bsc#984372)。

- CVE-2014-9816:viff 画像の領域外アクセス(bsc#984398)。

- CVE-2014-9817:pdb ファイル処理のヒープバッファオーバーフロー(bsc#984400)。

- CVE-2014-9818:無効な形式の sun ファイルの領域外アクセス(bsc#984181)。

- CVE-2014-9819:palm ファイルのヒープオーバーフロー(bsc#984142)。

- CVE-2014-9830:破損した sun ファイルの処理(bsc#984135)。

- CVE-2014-9831:破損した wpg ファイルの処理(bsc#984375)。

- CVE-2014-9836:xpm ファイル処理におけるクラッシュ(bsc#984023)。

- CVE-2014-9851:リソースブロック解析時のクラッシュ(bsc#984160)。

- CVE-2016-5689:dcm コーダーにおける NULL ポインターデリファレンス(bsc#985460)。

- CVE-2014-9853:rle ファイル処理のメモリリーク(bsc#984408)。

- CVE-2015-8902:PDB ファイルの DoS(CPU の消費)(bsc#983253)。

- CVE-2015-8903:vicar のサービス拒否(cpu)(bsc#983259)。

- CVE-2015-8901:MIFF ファイルの DoS(無限ループ)(bsc#983234)。

- CVE-2014-9834:pict ファイルのヒープオーバーフロー(bsc#984436)。

- CVE-2014-9806:破損ファイルによるファイル記述子の漏洩を回避します(bsc#983774)。

- CVE-2014-9838:magick/cache.c におけるメモリ不足によるクラッシュ(bsc#984370)。

- CVE-2014-9854:TIFF 画像の識別中にメモリが埋まる(bsc#984184)。

- CVE-2015-8898:magick/constitute.c における NULL ポインターアクセスの防止(bsc#983746)。

- CVE-2015-8894:coders/tga.c:221 の二重解放(bsc#983523)。

- CVE-2015-8896:coders/pict.c:2000 の二重解放 / 整数切り捨ての問題(bsc#983533)。

- CVE-2015-8897:SpliceImage における領域外エラー(bsc#983739)。

- CVE-2016-5690:DCM コーダーにおける不適切な for loop(bsc#985451)。

- CVE-2016-5691:dcm コーダーにおける pixel.red/green/blue のチェック(bsc#985456)。

- CVE-2014-9805:破損した pnm ファイルによる SEGV。
(bsc#983752)。

- CVE-2014-9808:破損した dpc 画像による SEGV。
(bsc#983796)。

- CVE-2014-9820:xpm ファイルにおけるヒープオーバーフロー(bsc#984150)。

- CVE-2014-9823:palm ファイルにおけるヒープオーバーフロー(bsc#984401)。

- CVE-2014-9822:quantum ファイルにおけるヒープオーバーフロー(bsc#984187)。

- CVE-2014-9839:magick/colormap-private.h の理論的領域外アクセス(bsc#984379)。

- CVE-2014-9824:psd ファイルにおけるヒープオーバーフロー(bsc#984185)。

- CVE-2014-9809:破損した xwd イメージによる SEGV を修正します。
(bsc#983799)。

- CVE-2014-9826:sun ファイルにおける不適切なエラー処理(bsc#984186)。

- CVE-2014-9842:psd 処理におけるメモリリーク(bsc#984374)。

- CVE-2016-5687:DDS コーダーでの領域外読み取り(bsc#985448)。

- CVE-2014-9840:palm ファイルの領域外アクセス(bsc#984433)。

- CVE-2014-9847:JNG デコーダーの「以前の」画像の不適切な処理(bsc#984144)。

- CVE-2014-9846:rle ファイルでのオーバーフローを防ぐためのチェックの追加。(bsc#983521)。

- CVE-2014-9845:破損した dib ファイルによるクラッシュ(bsc#984394)。

- CVE-2014-9844:rle ファイルの領域外問題(bsc#984373)。

- CVE-2014-9849:png コーダーにおけるクラッシュ(bsc#984018)。

- CVE-2016-5688:ImageMagick WPG のさまざまな無効なメモリ読み取り(bsc#985442)。

- CVE-2014-9807:pdb コーダーの二重解放を修正します。
(bsc#983794)。

- CVE-2014-9829:sun ファイルの領域外アクセス(bsc#984409)。

- CVE-2016-4564:ImageMagick の MagickCore/draw.c にある DrawImage 関数は、次のトークンの検索試行時に不適切な関数呼び出しを行いました。これにより、リモートの攻撃者は細工されたファイルを通じて、サービス拒否を引き起こす(バッファオーバーフローとアプリケーションのクラッシュ)か、その他の詳細不明の影響を及ぼすことが可能でした(bsc#983308)。

- CVE-2016-4563:ImageMagick の MagickCore/draw.c にある TraceStrokePolygon 関数は、BezierQuantum 値と特定のストロークデータ間の関係を不適切に処理しました。これにより、リモートの攻撃者は細工されたファイルを通じて、サービス拒否を引き起こす(バッファオーバーフローとアプリケーションのクラッシュ)か、その他の詳細不明の影響を及ぼすことが可能でした(bsc#983305)。

- CVE-2016-4562:ImageMagick の MagickCore/draw.c にある DrawDashPolygon 関数は、特定の vertex 整数データの計算を不適切に処理しました。これにより、リモートの攻撃者は細工されたファイルを通じて、サービス拒否を引き起こす(バッファオーバーフローとアプリケーションのクラッシュ)か、その他の詳細不明の影響を及ぼすことが可能でした(bsc#983292)。

- CVE-2014-9837:追加の PNM サニティチェック(bsc#984166)。

- CVE-2014-9835:wpf ファイルのヒープオーバーフロー(bsc#984145)。

- CVE-2014-9828:破損した(色が多すぎる)psd ファイル(bsc#984028)。

- CVE-2016-5841:RCE につながる可能性のある整数オーバーフロー(bnc#986609)。

- CVE-2016-5842:メモリリークにつながる可能性のある、MagickCore/property.c:1396 での領域外読み取り(bnc#986608)。

注意:Tenable Network Security は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

この SUSE セキュリティ更新をインストールするには、YaST online_update を使用してください。
または、お使いの製品用に一覧になったコマンドを実行することも可能です。

SUSE Linux Enterprise ソフトウェア開発キット 11-SP4:

zypper in -t patch sdksp4-ImageMagick-12643=1

SUSE Linux Enterprise Server 11-SP4:

zypper in -t patch slessp4-ImageMagick-12643=1

SUSE Linux Enterprise Debuginfo 11-SP4:

zypper in -t patch dbgsp4-ImageMagick-12643=1

お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。

関連情報

https://bugzilla.suse.com/show_bug.cgi?id=983234

https://bugzilla.suse.com/show_bug.cgi?id=983253

https://bugzilla.suse.com/show_bug.cgi?id=983259

https://bugzilla.suse.com/show_bug.cgi?id=983292

https://bugzilla.suse.com/show_bug.cgi?id=983305

https://bugzilla.suse.com/show_bug.cgi?id=983308

https://bugzilla.suse.com/show_bug.cgi?id=983521

https://bugzilla.suse.com/show_bug.cgi?id=983523

https://bugzilla.suse.com/show_bug.cgi?id=983533

https://bugzilla.suse.com/show_bug.cgi?id=983739

https://bugzilla.suse.com/show_bug.cgi?id=983746

https://bugzilla.suse.com/show_bug.cgi?id=983752

https://bugzilla.suse.com/show_bug.cgi?id=983774

https://bugzilla.suse.com/show_bug.cgi?id=983794

https://bugzilla.suse.com/show_bug.cgi?id=983796

https://bugzilla.suse.com/show_bug.cgi?id=983799

https://bugzilla.suse.com/show_bug.cgi?id=983803

https://bugzilla.suse.com/show_bug.cgi?id=984018

https://bugzilla.suse.com/show_bug.cgi?id=984023

https://bugzilla.suse.com/show_bug.cgi?id=984028

https://bugzilla.suse.com/show_bug.cgi?id=984032

https://bugzilla.suse.com/show_bug.cgi?id=984035

https://bugzilla.suse.com/show_bug.cgi?id=984135

https://bugzilla.suse.com/show_bug.cgi?id=984137

https://bugzilla.suse.com/show_bug.cgi?id=984142

https://bugzilla.suse.com/show_bug.cgi?id=984144

https://bugzilla.suse.com/show_bug.cgi?id=984145

https://bugzilla.suse.com/show_bug.cgi?id=984150

https://bugzilla.suse.com/show_bug.cgi?id=984160

https://bugzilla.suse.com/show_bug.cgi?id=984166

https://bugzilla.suse.com/show_bug.cgi?id=984181

https://bugzilla.suse.com/show_bug.cgi?id=984184

https://bugzilla.suse.com/show_bug.cgi?id=984185

https://bugzilla.suse.com/show_bug.cgi?id=984186

https://bugzilla.suse.com/show_bug.cgi?id=984187

https://bugzilla.suse.com/show_bug.cgi?id=984193

https://bugzilla.suse.com/show_bug.cgi?id=984370

https://bugzilla.suse.com/show_bug.cgi?id=984372

https://bugzilla.suse.com/show_bug.cgi?id=984373

https://bugzilla.suse.com/show_bug.cgi?id=984374

https://bugzilla.suse.com/show_bug.cgi?id=984375

https://bugzilla.suse.com/show_bug.cgi?id=984379

https://bugzilla.suse.com/show_bug.cgi?id=984394

https://bugzilla.suse.com/show_bug.cgi?id=984398

https://bugzilla.suse.com/show_bug.cgi?id=984400

https://bugzilla.suse.com/show_bug.cgi?id=984401

https://bugzilla.suse.com/show_bug.cgi?id=984408

https://bugzilla.suse.com/show_bug.cgi?id=984409

https://bugzilla.suse.com/show_bug.cgi?id=984433

https://bugzilla.suse.com/show_bug.cgi?id=984436

https://bugzilla.suse.com/show_bug.cgi?id=985442

https://bugzilla.suse.com/show_bug.cgi?id=985448

https://bugzilla.suse.com/show_bug.cgi?id=985451

https://bugzilla.suse.com/show_bug.cgi?id=985456

https://bugzilla.suse.com/show_bug.cgi?id=985460

https://bugzilla.suse.com/show_bug.cgi?id=986608

https://bugzilla.suse.com/show_bug.cgi?id=986609

https://www.suse.com/security/cve/CVE-2014-9805/

https://www.suse.com/security/cve/CVE-2014-9806/

https://www.suse.com/security/cve/CVE-2014-9807/

https://www.suse.com/security/cve/CVE-2014-9808/

https://www.suse.com/security/cve/CVE-2014-9809/

https://www.suse.com/security/cve/CVE-2014-9810/

https://www.suse.com/security/cve/CVE-2014-9811/

https://www.suse.com/security/cve/CVE-2014-9812/

https://www.suse.com/security/cve/CVE-2014-9813/

https://www.suse.com/security/cve/CVE-2014-9814/

https://www.suse.com/security/cve/CVE-2014-9815/

https://www.suse.com/security/cve/CVE-2014-9816/

https://www.suse.com/security/cve/CVE-2014-9817/

https://www.suse.com/security/cve/CVE-2014-9818/

https://www.suse.com/security/cve/CVE-2014-9819/

https://www.suse.com/security/cve/CVE-2014-9820/

https://www.suse.com/security/cve/CVE-2014-9822/

https://www.suse.com/security/cve/CVE-2014-9823/

https://www.suse.com/security/cve/CVE-2014-9824/

https://www.suse.com/security/cve/CVE-2014-9826/

https://www.suse.com/security/cve/CVE-2014-9828/

https://www.suse.com/security/cve/CVE-2014-9829/

https://www.suse.com/security/cve/CVE-2014-9830/

https://www.suse.com/security/cve/CVE-2014-9831/

https://www.suse.com/security/cve/CVE-2014-9834/

https://www.suse.com/security/cve/CVE-2014-9835/

https://www.suse.com/security/cve/CVE-2014-9836/

https://www.suse.com/security/cve/CVE-2014-9837/

https://www.suse.com/security/cve/CVE-2014-9838/

https://www.suse.com/security/cve/CVE-2014-9839/

https://www.suse.com/security/cve/CVE-2014-9840/

https://www.suse.com/security/cve/CVE-2014-9842/

https://www.suse.com/security/cve/CVE-2014-9844/

https://www.suse.com/security/cve/CVE-2014-9845/

https://www.suse.com/security/cve/CVE-2014-9846/

https://www.suse.com/security/cve/CVE-2014-9847/

https://www.suse.com/security/cve/CVE-2014-9849/

https://www.suse.com/security/cve/CVE-2014-9851/

https://www.suse.com/security/cve/CVE-2014-9853/

https://www.suse.com/security/cve/CVE-2014-9854/

https://www.suse.com/security/cve/CVE-2015-8894/

https://www.suse.com/security/cve/CVE-2015-8896/

https://www.suse.com/security/cve/CVE-2015-8897/

https://www.suse.com/security/cve/CVE-2015-8898/

https://www.suse.com/security/cve/CVE-2015-8901/

https://www.suse.com/security/cve/CVE-2015-8902/

https://www.suse.com/security/cve/CVE-2015-8903/

https://www.suse.com/security/cve/CVE-2016-4562/

https://www.suse.com/security/cve/CVE-2016-4563/

https://www.suse.com/security/cve/CVE-2016-4564/

https://www.suse.com/security/cve/CVE-2016-5687/

https://www.suse.com/security/cve/CVE-2016-5688/

https://www.suse.com/security/cve/CVE-2016-5689/

https://www.suse.com/security/cve/CVE-2016-5690/

https://www.suse.com/security/cve/CVE-2016-5691/

https://www.suse.com/security/cve/CVE-2016-5841/

https://www.suse.com/security/cve/CVE-2016-5842/

http://www.nessus.org/u?79276ec4

プラグインの詳細

深刻度: High

ID: 93178

ファイル名: suse_SU-2016-1782-1.nasl

バージョン: 2.13

タイプ: local

エージェント: unix

公開日: 2016/8/29

更新日: 2021/1/19

依存関係: ssh_get_info.nasl

リスク情報

リスクファクター: High

VPR スコア: 5.9

CVSS v2.0

Base Score: 7.5

Temporal Score: 5.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3.0

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性の情報

CPE: p-cpe:/a:novell:suse_linux:libMagickCore1, cpe:/o:novell:suse_linux:11

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2016/7/11

脆弱性公開日: 2016/6/4

参照情報

CVE: CVE-2014-9805, CVE-2014-9806, CVE-2014-9807, CVE-2014-9808, CVE-2014-9809, CVE-2014-9810, CVE-2014-9811, CVE-2014-9812, CVE-2014-9813, CVE-2014-9814, CVE-2014-9815, CVE-2014-9816, CVE-2014-9817, CVE-2014-9818, CVE-2014-9819, CVE-2014-9820, CVE-2014-9822, CVE-2014-9823, CVE-2014-9824, CVE-2014-9826, CVE-2014-9828, CVE-2014-9829, CVE-2014-9830, CVE-2014-9831, CVE-2014-9834, CVE-2014-9835, CVE-2014-9836, CVE-2014-9837, CVE-2014-9838, CVE-2014-9839, CVE-2014-9840, CVE-2014-9842, CVE-2014-9844, CVE-2014-9845, CVE-2014-9846, CVE-2014-9847, CVE-2014-9849, CVE-2014-9851, CVE-2014-9853, CVE-2014-9854, CVE-2015-8894, CVE-2015-8896, CVE-2015-8897, CVE-2015-8898, CVE-2015-8901, CVE-2015-8902, CVE-2015-8903, CVE-2016-4562, CVE-2016-4563, CVE-2016-4564, CVE-2016-5687, CVE-2016-5688, CVE-2016-5689, CVE-2016-5690, CVE-2016-5691, CVE-2016-5841, CVE-2016-5842