SUSE SLED12 / SLES12セキュリティ更新プログラム:ImageMagick(SUSE-SU-2017:0529-1)
critical Nessus プラグイン ID 97317
Language:
概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。説明
このImageMagick用の更新プログラムでは、次の問題が修正されています。修正されたセキュリティ問題:- CVE-2016-10046:不正な長さ計算によって引き起こされるdraw.c内のバッファオーバーフローを防止します(bsc#1017308)
- CVE-2016-10048:相対パスがエスケープされていないために、任意のモジュールがロードされる可能性があります(bsc#1017310)
- CVE-2016-10049:破損したRLEファイルにより、不正な長さ計算が原因でバッファがオーバーフローする可能性がありました(bsc#1017311)
- CVE-2016-10050:破損したRLEファイルにより、オフセットチェックが欠落していることが原因で、ヒープバッファがオーバーフローする可能性がありました(bsc#1017312)
- CVE-2016-10051:PWPファイル読み取り時のメモリ解放後使用(Use After Free)を修正しました(bsc#1017313)
- CVE-2016-10052:JPEGファイルのexif解析に境界チェックを追加しました(bsc#1017314)
- CVE-2016-10059:TIFFファイルの読み取り時に計算がチェックされないため、バッファオーバーフローが発生する可能性がありました(bsc#1017318)
- CVE-2016-10060:ファイル書き込み時のエラー処理がエラーをマスクしないように改善されました(bsc#1017319)
- CVE-2016-10061:ファイル書き込み時のエラー処理がエラーをマスクしないように改善されました(bsc#1017319)。
- CVE-2016-10062:ファイル書き込み時のエラー処理がエラーをマスクしないように改善されました(bsc#1017319)。
- CVE-2016-10063:TIFFファイル読み込み時に拡張の妥当性をチェックします(bsc#1017320)
- CVE-2016-10064:TIFFファイルの読みとロジのバッファオーバーフローのチェックを改善しました(bsc#1017321)
- CVE-2016-10065:VIFFファイルの読み取り時に計算がチェックされないため、領域外読み取りが発生する可能性がありました(bsc#1017322)
- CVE-2016-10068:MSLインタープリター使用時のNULLポインターアクセスを防止します(bsc#1017324)
- CVE-2016-10069:無効なmatファイルのチェックを追加します(bsc#1017325)。
- CVE-2016-10070:Mattファイルの読み取り時の誤ったメモリ量の割り当てを防止します(bsc#1017326)
- CVE-2016-10071:Mattファイルの読み取り時の誤ったメモリ量の割り当てを防止します(bsc#1017326)
- CVE-2016-10144:IPLファイルの解析中のメモリ割り当て後のチェックを追加しました(bsc#1020433)
- CVE-2016-10145:WPGファイルの解析中の文字列コピー操作のoff-by-oneを修正しました(bsc#1020435)
- CVE-2016-10146:キャプションとラベルが不適切に処理されたためにメモリリークが発生し、これによりDoSを引き起こされる可能性がありました(bsc#1020443)
- CVE-2017-5506:二重解放につながるオフセットチェックの欠如(bsc#1020436)
- CVE-2017-5507:DoSを可能にするMPCファイル読み込み時のメモリリークを修正しました(bsc#1020439)
- CVE-2017-5508:TIFFピクセルに割り当てるメモリ量を増やして、ヒープバッファオーバーフローを防止します(bsc#1020441)
- CVE-2017-5510:PSDファイルの読み取り時の領域外書き込みを防止します(bsc#1020446)。
- CVE-2017-5511:PSDファイルの読み取り時にキャストが欠落していため、ヒープオーバーフローによるメモリ破損が引き起こされる可能性がありました(bsc#1020448)。この更新により、CVE-2016-9773の修正が削除されます。ImageMagick-6は、CVE-2016-9773の影響を受けず、回帰を引き起こしていました(少なくともGraphicsMagickで)(bsc#1017421)。
注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。
ソリューション
このSUSEセキュリティ更新をインストールするには、YaST online_updateを使用してください。別の方法として、製品にリストされているコマンドを実行することができます:
SUSE Linux Enterpriseワークステーション拡張12-SP2:zypper in -t patch SUSE-SLE-WE-12-SP2-2017-273=1
SUSE Linux Enterpriseワークステーション拡張 12-SP1:zypper in -t patch SUSE-SLE-WE-12-SP1-2017-273=1
SUSE Linux Enterpriseソフトウェア開発キット12-SP2:zypper in -t patch SUSE-SLE-SDK-12-SP2-2017-273=1
SUSE Linux Enterpriseソフトウェア開発キット12-SP1:zypper in -t patch SUSE-SLE-SDK-12-SP1-2017-273=1
SUSE Linux Enterprise Server for Raspberry Pi 12-SP2:zypper in -t patch SUSE-SLE-RPI-12-SP2-2017-273=1
SUSE Linux Enterprise Server 12-SP2:zypper in -t patch SUSE-SLE-SERVER-12-SP2-2017-273=1
SUSE Linux Enterprise Server 12-SP1:zypper in -t patch SUSE-SLE-SERVER-12-SP1-2017-273=1
SUSE Linux Enterprise Desktop 12-SP2:zypper in -t patch SUSE-SLE-DESKTOP-12-SP2-2017-273=1
SUSE Linux Enterprise Desktop 12-SP1:zypper in -t patch SUSE-SLE-DESKTOP-12-SP1-2017-273=1
お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。
参考資料
https://www.suse.com/security/cve/CVE-2016-10051/
https://www.suse.com/security/cve/CVE-2016-10052/
https://www.suse.com/security/cve/CVE-2016-10059/
https://www.suse.com/security/cve/CVE-2016-10060/
https://www.suse.com/security/cve/CVE-2016-10061/
https://www.suse.com/security/cve/CVE-2016-10062/
https://www.suse.com/security/cve/CVE-2016-10063/
https://www.suse.com/security/cve/CVE-2016-10064/
https://www.suse.com/security/cve/CVE-2016-10065/
https://www.suse.com/security/cve/CVE-2016-10068/
https://www.suse.com/security/cve/CVE-2016-10069/
https://www.suse.com/security/cve/CVE-2016-10070/
https://www.suse.com/security/cve/CVE-2016-10071/
https://www.suse.com/security/cve/CVE-2016-10144/
https://www.suse.com/security/cve/CVE-2016-10145/
https://www.suse.com/security/cve/CVE-2016-10146/
https://bugzilla.suse.com/show_bug.cgi?id=1017308
https://bugzilla.suse.com/show_bug.cgi?id=1017310
https://bugzilla.suse.com/show_bug.cgi?id=1017311
https://bugzilla.suse.com/show_bug.cgi?id=1017312
https://bugzilla.suse.com/show_bug.cgi?id=1017313
https://bugzilla.suse.com/show_bug.cgi?id=1017314
https://bugzilla.suse.com/show_bug.cgi?id=1017318
https://bugzilla.suse.com/show_bug.cgi?id=1017319
https://bugzilla.suse.com/show_bug.cgi?id=1017320
https://bugzilla.suse.com/show_bug.cgi?id=1017321
https://bugzilla.suse.com/show_bug.cgi?id=1017322
https://bugzilla.suse.com/show_bug.cgi?id=1017324
https://bugzilla.suse.com/show_bug.cgi?id=1017325
https://bugzilla.suse.com/show_bug.cgi?id=1017326
https://bugzilla.suse.com/show_bug.cgi?id=1017421
https://bugzilla.suse.com/show_bug.cgi?id=1020433
https://bugzilla.suse.com/show_bug.cgi?id=1020435
https://bugzilla.suse.com/show_bug.cgi?id=1020436
https://bugzilla.suse.com/show_bug.cgi?id=1020439
https://bugzilla.suse.com/show_bug.cgi?id=1020441
https://bugzilla.suse.com/show_bug.cgi?id=1020443
https://bugzilla.suse.com/show_bug.cgi?id=1020446
https://bugzilla.suse.com/show_bug.cgi?id=1020448
https://www.suse.com/security/cve/CVE-2016-10046/
https://www.suse.com/security/cve/CVE-2016-10048/
https://www.suse.com/security/cve/CVE-2016-10049/
https://www.suse.com/security/cve/CVE-2016-10050/
https://www.suse.com/security/cve/CVE-2017-5506/
https://www.suse.com/security/cve/CVE-2017-5507/
https://www.suse.com/security/cve/CVE-2017-5508/
https://www.suse.com/security/cve/CVE-2017-5510/
プラグインの詳細
深刻度: Critical
ID: 97317
ファイル名: suse_SU-2017-0529-1.nasl
バージョン: 3.12
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2017/2/22
更新日: 2021/1/6
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:imagemagick, p-cpe:/a:novell:suse_linux:imagemagick-debuginfo, p-cpe:/a:novell:suse_linux:imagemagick-debugsource, p-cpe:/a:novell:suse_linux:libmagick%2b%2b-6_q16, p-cpe:/a:novell:suse_linux:libmagick%2b%2b-6_q16-3-debuginfo, p-cpe:/a:novell:suse_linux:libmagickcore-6_q16, p-cpe:/a:novell:suse_linux:libmagickcore-6_q16-1, p-cpe:/a:novell:suse_linux:libmagickcore-6_q16-1-debuginfo, p-cpe:/a:novell:suse_linux:libmagickwand-6_q16, p-cpe:/a:novell:suse_linux:libmagickwand-6_q16-1-debuginfo, cpe:/o:novell:suse_linux:12
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2017/2/21
脆弱性公開日: 2017/2/17
参照情報
CVE: CVE-2016-10046, CVE-2016-10048, CVE-2016-10049, CVE-2016-10050, CVE-2016-10051, CVE-2016-10052, CVE-2016-10059, CVE-2016-10060, CVE-2016-10061, CVE-2016-10062, CVE-2016-10063, CVE-2016-10064, CVE-2016-10065, CVE-2016-10068, CVE-2016-10069, CVE-2016-10070, CVE-2016-10071, CVE-2016-10144, CVE-2016-10145, CVE-2016-10146, CVE-2016-9773, CVE-2017-5506, CVE-2017-5507, CVE-2017-5508, CVE-2017-5510, CVE-2017-5511