SUSE SLED12 / SLES12セキュリティ更新プログラム:ImageMagick(SUSE-SU-2017:0529-1)

critical Nessus プラグイン ID 97317

言語:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

このImageMagick用の更新プログラムでは、次の問題が修正されています。修正されたセキュリティ問題:

- CVE-2016-10046:不正な長さ計算によって引き起こされるdraw.c内のバッファオーバーフローを防止します(bsc#1017308)

- CVE-2016-10048:相対パスがエスケープされていないために、任意のモジュールがロードされる可能性があります(bsc#1017310)

- CVE-2016-10049:破損したRLEファイルにより、不正な長さ計算が原因でバッファがオーバーフローする可能性がありました(bsc#1017311)

- CVE-2016-10050:破損したRLEファイルにより、オフセットチェックが欠落していることが原因で、ヒープバッファがオーバーフローする可能性がありました(bsc#1017312)

- CVE-2016-10051:PWPファイル読み取り時のメモリ解放後使用(Use After Free)を修正しました(bsc#1017313)

- CVE-2016-10052:JPEGファイルのexif解析に境界チェックを追加しました(bsc#1017314)

- CVE-2016-10059:TIFFファイルの読み取り時に計算がチェックされないため、バッファオーバーフローが発生する可能性がありました(bsc#1017318)

- CVE-2016-10060:ファイル書き込み時のエラー処理がエラーをマスクしないように改善されました(bsc#1017319)

- CVE-2016-10061:ファイル書き込み時のエラー処理がエラーをマスクしないように改善されました(bsc#1017319)。

- CVE-2016-10062:ファイル書き込み時のエラー処理がエラーをマスクしないように改善されました(bsc#1017319)。

- CVE-2016-10063:TIFFファイル読み込み時に拡張の妥当性をチェックします(bsc#1017320)

- CVE-2016-10064:TIFFファイルの読みとロジのバッファオーバーフローのチェックを改善しました(bsc#1017321)

- CVE-2016-10065:VIFFファイルの読み取り時に計算がチェックされないため、領域外読み取りが発生する可能性がありました(bsc#1017322)

- CVE-2016-10068:MSLインタープリター使用時のNULLポインターアクセスを防止します(bsc#1017324)

- CVE-2016-10069:無効なmatファイルのチェックを追加します(bsc#1017325)。

- CVE-2016-10070:Mattファイルの読み取り時の誤ったメモリ量の割り当てを防止します(bsc#1017326)

- CVE-2016-10071:Mattファイルの読み取り時の誤ったメモリ量の割り当てを防止します(bsc#1017326)

- CVE-2016-10144:IPLファイルの解析中のメモリ割り当て後のチェックを追加しました(bsc#1020433)

- CVE-2016-10145:WPGファイルの解析中の文字列コピー操作のoff-by-oneを修正しました(bsc#1020435)

- CVE-2016-10146:キャプションとラベルが不適切に処理されたためにメモリリークが発生し、これによりDoSを引き起こされる可能性がありました(bsc#1020443)

- CVE-2017-5506:二重解放につながるオフセットチェックの欠如(bsc#1020436)

- CVE-2017-5507:DoSを可能にするMPCファイル読み込み時のメモリリークを修正しました(bsc#1020439)

- CVE-2017-5508:TIFFピクセルに割り当てるメモリ量を増やして、ヒープバッファオーバーフローを防止します(bsc#1020441)

- CVE-2017-5510:PSDファイルの読み取り時の領域外書き込みを防止します(bsc#1020446)。

- CVE-2017-5511:PSDファイルの読み取り時にキャストが欠落していため、ヒープオーバーフローによるメモリ破損が引き起こされる可能性がありました(bsc#1020448)。この更新により、CVE-2016-9773の修正が削除されます。ImageMagick-6は、CVE-2016-9773の影響を受けず、回帰を引き起こしていました(少なくともGraphicsMagickで)(bsc#1017421)。

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

このSUSEセキュリティ更新をインストールするには、YaST online_updateを使用してください。
別の方法として、製品にリストされているコマンドを実行することができます:

SUSE Linux Enterpriseワークステーション拡張12-SP2:zypper in -t patch SUSE-SLE-WE-12-SP2-2017-273=1

SUSE Linux Enterpriseワークステーション拡張 12-SP1:zypper in -t patch SUSE-SLE-WE-12-SP1-2017-273=1

SUSE Linux Enterpriseソフトウェア開発キット12-SP2:zypper in -t patch SUSE-SLE-SDK-12-SP2-2017-273=1

SUSE Linux Enterpriseソフトウェア開発キット12-SP1:zypper in -t patch SUSE-SLE-SDK-12-SP1-2017-273=1

SUSE Linux Enterprise Server for Raspberry Pi 12-SP2:zypper in -t patch SUSE-SLE-RPI-12-SP2-2017-273=1

SUSE Linux Enterprise Server 12-SP2:zypper in -t patch SUSE-SLE-SERVER-12-SP2-2017-273=1

SUSE Linux Enterprise Server 12-SP1:zypper in -t patch SUSE-SLE-SERVER-12-SP1-2017-273=1

SUSE Linux Enterprise Desktop 12-SP2:zypper in -t patch SUSE-SLE-DESKTOP-12-SP2-2017-273=1

SUSE Linux Enterprise Desktop 12-SP1:zypper in -t patch SUSE-SLE-DESKTOP-12-SP1-2017-273=1

お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。

関連情報

https://bugzilla.suse.com/show_bug.cgi?id=1017308

https://bugzilla.suse.com/show_bug.cgi?id=1017310

https://bugzilla.suse.com/show_bug.cgi?id=1017311

https://bugzilla.suse.com/show_bug.cgi?id=1017312

https://bugzilla.suse.com/show_bug.cgi?id=1017313

https://bugzilla.suse.com/show_bug.cgi?id=1017314

https://bugzilla.suse.com/show_bug.cgi?id=1017318

https://bugzilla.suse.com/show_bug.cgi?id=1017319

https://bugzilla.suse.com/show_bug.cgi?id=1017320

https://bugzilla.suse.com/show_bug.cgi?id=1017321

https://bugzilla.suse.com/show_bug.cgi?id=1017322

https://bugzilla.suse.com/show_bug.cgi?id=1017324

https://bugzilla.suse.com/show_bug.cgi?id=1017325

https://bugzilla.suse.com/show_bug.cgi?id=1017326

https://bugzilla.suse.com/show_bug.cgi?id=1017421

https://bugzilla.suse.com/show_bug.cgi?id=1020433

https://bugzilla.suse.com/show_bug.cgi?id=1020435

https://bugzilla.suse.com/show_bug.cgi?id=1020436

https://bugzilla.suse.com/show_bug.cgi?id=1020439

https://bugzilla.suse.com/show_bug.cgi?id=1020441

https://bugzilla.suse.com/show_bug.cgi?id=1020443

https://bugzilla.suse.com/show_bug.cgi?id=1020446

https://bugzilla.suse.com/show_bug.cgi?id=1020448

https://www.suse.com/security/cve/CVE-2016-10046/

https://www.suse.com/security/cve/CVE-2016-10048/

https://www.suse.com/security/cve/CVE-2016-10049/

https://www.suse.com/security/cve/CVE-2016-10050/

https://www.suse.com/security/cve/CVE-2016-10051/

https://www.suse.com/security/cve/CVE-2016-10052/

https://www.suse.com/security/cve/CVE-2016-10059/

https://www.suse.com/security/cve/CVE-2016-10060/

https://www.suse.com/security/cve/CVE-2016-10061/

https://www.suse.com/security/cve/CVE-2016-10062/

https://www.suse.com/security/cve/CVE-2016-10063/

https://www.suse.com/security/cve/CVE-2016-10064/

https://www.suse.com/security/cve/CVE-2016-10065/

https://www.suse.com/security/cve/CVE-2016-10068/

https://www.suse.com/security/cve/CVE-2016-10069/

https://www.suse.com/security/cve/CVE-2016-10070/

https://www.suse.com/security/cve/CVE-2016-10071/

https://www.suse.com/security/cve/CVE-2016-10144/

https://www.suse.com/security/cve/CVE-2016-10145/

https://www.suse.com/security/cve/CVE-2016-10146/

https://www.suse.com/security/cve/CVE-2017-5506/

https://www.suse.com/security/cve/CVE-2017-5507/

https://www.suse.com/security/cve/CVE-2017-5508/

https://www.suse.com/security/cve/CVE-2017-5510/

https://www.suse.com/security/cve/CVE-2017-5511/

http://www.nessus.org/u?4a06fcd2

プラグインの詳細

深刻度: Critical

ID: 97317

ファイル名: suse_SU-2017-0529-1.nasl

バージョン: 3.12

タイプ: local

エージェント: unix

公開日: 2017/2/22

更新日: 2021/1/6

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 7.8

Temporal Score: 5.8

ベクトル: AV:N/AC:L/Au:N/C:N/I:N/A:C

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:ImageMagick, p-cpe:/a:novell:suse_linux:ImageMagick-debuginfo, p-cpe:/a:novell:suse_linux:ImageMagick-debugsource, p-cpe:/a:novell:suse_linux:libmagick%2b%2b-6_q16, p-cpe:/a:novell:suse_linux:libmagick%2b%2b-6_q16-3-debuginfo, p-cpe:/a:novell:suse_linux:libMagickCore-6_Q16, p-cpe:/a:novell:suse_linux:libMagickCore-6_Q16-1, p-cpe:/a:novell:suse_linux:libMagickCore-6_Q16-1-debuginfo, p-cpe:/a:novell:suse_linux:libMagickWand-6_Q16, p-cpe:/a:novell:suse_linux:libMagickWand-6_Q16-1-debuginfo, cpe:/o:novell:suse_linux:12

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/2/21

脆弱性公開日: 2017/2/17

参照情報

CVE: CVE-2016-10046, CVE-2016-10048, CVE-2016-10049, CVE-2016-10050, CVE-2016-10051, CVE-2016-10052, CVE-2016-10059, CVE-2016-10060, CVE-2016-10061, CVE-2016-10062, CVE-2016-10063, CVE-2016-10064, CVE-2016-10065, CVE-2016-10068, CVE-2016-10069, CVE-2016-10070, CVE-2016-10071, CVE-2016-10144, CVE-2016-10145, CVE-2016-10146, CVE-2016-9773, CVE-2017-5506, CVE-2017-5507, CVE-2017-5508, CVE-2017-5510, CVE-2017-5511