openSUSEセキュリティ更新プログラム:ImageMagick(openSUSE-2017-303)
critical Nessus プラグイン ID 97562
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このImageMagick用の更新プログラムでは、次の問題が修正されています。修正されたセキュリティ問題:- CVE-2016-10046:不正な長さ計算によって引き起こされるdraw.c内のバッファオーバーフローを防止します(bsc#1017308)
- CVE-2016-10048:相対パスがエスケープされていないために、任意のモジュールがロードされる可能性があります(bsc#1017310)
- CVE-2016-10049:破損したRLEファイルにより、不正な長さ計算が原因でバッファがオーバーフローする可能性がありました(bsc#1017311)
- CVE-2016-10050:破損したRLEファイルにより、オフセットチェックが欠落していることが原因で、ヒープバッファがオーバーフローする可能性がありました(bsc#1017312)
- CVE-2016-10051:PWPファイル読み取り時のメモリ解放後使用(Use After Free)を修正しました(bsc#1017313)
- CVE-2016-10052:JPEGファイルのexif解析に境界チェックを追加しました(bsc#1017314)
- CVE-2016-10059:TIFFファイルの読み取り時に計算がチェックされないため、バッファオーバーフローが発生する可能性がありました(bsc#1017318)
- CVE-2016-10060:ファイル書き込み時のエラー処理がエラーをマスクしないように改善されました(bsc#1017319)
- CVE-2016-10061:ファイル書き込み時のエラー処理がエラーをマスクしないように改善されました(bsc#1017319)。
- CVE-2016-10062:ファイル書き込み時のエラー処理がエラーをマスクしないように改善されました(bsc#1017319)。
- CVE-2016-10063:TIFFファイル読み込み時の拡張の妥当性をチェックします(bsc#1017320)
- CVE-2016-10064:TIFFファイルの読みとロジのバッファオーバーフローのチェックを改善しました(bsc#1017321)
- CVE-2016-10065:VIFFファイルの読み取り時に計算がチェックされないため、領域外読み取りが発生する可能性がありました(bsc#1017322)
- CVE-2016-10068:MSLインタープリター使用時のNULLポインターアクセスを防止します(bsc#1017324)
- CVE-2016-10069:無効なmatファイルのチェックを追加します(bsc#1017325)。
- CVE-2016-10070:Mattファイルの読み取り時の誤ったメモリ量の割り当てを防止します(bsc#1017326)
- CVE-2016-10071:Mattファイルの読み取り時の誤ったメモリ量の割り当てを防止します(bsc#1017326)
- CVE-2016-10144:IPLファイルを解析する際にメモリ割り当て後のチェックを追加しました(bsc#1020433)
- CVE-2016-10145:WPGファイルを解析する際に文字列コピー操作のoff-by-oneを修正しました(bsc#1020435)
- CVE-2016-10146:キャプションとラベルが不適切に処理されたためにメモリリークが発生し、これによりDoSを引き起こされる可能性がありました(bsc#1020443)
- CVE-2017-5506:二重解放につながるオフセットチェックの欠如(bsc#1020436)
- CVE-2017-5507:DoSを可能にするMPCファイル読み込み時のメモリリークを修正しました(bsc#1020439)
- CVE-2017-5508:TIFFピクセルに割り当てるメモリ量を増やして、ヒープバッファオーバーフローを防止します(bsc#1020441)
- CVE-2017-5510:PSDファイルの読み取り時の領域外書き込みを防止します(bsc#1020446)。
- CVE-2017-5511:PSDファイルの読み取り時にキャストが欠落していため、ヒープオーバーフローによるメモリ破損が引き起こされる可能性がありました(bsc#1020448)
この更新では、CVE-2016-9773に対する修正が削除されます。ImageMagick-6は、CVE-2016-9773の影響を受けず、回帰を引き起こしていました(少なくともGraphicsMagickで)(bsc#1017421)。
この更新はSUSEからインポートされました:SLE-12:更新プロジェクトを更新します。
ソリューション
影響を受けるImageMagickパッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=1017318
https://bugzilla.opensuse.org/show_bug.cgi?id=1017319
https://bugzilla.opensuse.org/show_bug.cgi?id=1017320
https://bugzilla.opensuse.org/show_bug.cgi?id=1017321
https://bugzilla.opensuse.org/show_bug.cgi?id=1017322
https://bugzilla.opensuse.org/show_bug.cgi?id=1017324
https://bugzilla.opensuse.org/show_bug.cgi?id=1017325
https://bugzilla.opensuse.org/show_bug.cgi?id=1017326
https://bugzilla.opensuse.org/show_bug.cgi?id=1017421
https://bugzilla.opensuse.org/show_bug.cgi?id=1020433
https://bugzilla.opensuse.org/show_bug.cgi?id=1020435
https://bugzilla.opensuse.org/show_bug.cgi?id=1017308
https://bugzilla.opensuse.org/show_bug.cgi?id=1017310
https://bugzilla.opensuse.org/show_bug.cgi?id=1017311
https://bugzilla.opensuse.org/show_bug.cgi?id=1017312
https://bugzilla.opensuse.org/show_bug.cgi?id=1017313
https://bugzilla.opensuse.org/show_bug.cgi?id=1017314
https://bugzilla.opensuse.org/show_bug.cgi?id=1020436
https://bugzilla.opensuse.org/show_bug.cgi?id=1020439
https://bugzilla.opensuse.org/show_bug.cgi?id=1020441
https://bugzilla.opensuse.org/show_bug.cgi?id=1020443
プラグインの詳細
深刻度: Critical
ID: 97562
ファイル名: openSUSE-2017-303.nasl
バージョン: 3.5
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2017/3/7
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS v3
リスクファクター: Critical
基本値: 9.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:imagemagick, p-cpe:/a:novell:opensuse:imagemagick-debuginfo, p-cpe:/a:novell:opensuse:imagemagick-debugsource, p-cpe:/a:novell:opensuse:imagemagick-devel, p-cpe:/a:novell:opensuse:imagemagick-devel-32bit, p-cpe:/a:novell:opensuse:imagemagick-extra, p-cpe:/a:novell:opensuse:imagemagick-extra-debuginfo, p-cpe:/a:novell:opensuse:libmagick%2b%2b-6_q16-3, p-cpe:/a:novell:opensuse:libmagick%2b%2b-6_q16-3-32bit, p-cpe:/a:novell:opensuse:libmagick%2b%2b-6_q16-3-debuginfo, p-cpe:/a:novell:opensuse:libmagick%2b%2b-6_q16-3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libmagick%2b%2b-devel, p-cpe:/a:novell:opensuse:libmagick%2b%2b-devel-32bit, p-cpe:/a:novell:opensuse:libmagickcore-6_q16-1, p-cpe:/a:novell:opensuse:libmagickcore-6_q16-1-32bit, p-cpe:/a:novell:opensuse:libmagickcore-6_q16-1-debuginfo, p-cpe:/a:novell:opensuse:libmagickcore-6_q16-1-debuginfo-32bit, p-cpe:/a:novell:opensuse:libmagickwand-6_q16-1, p-cpe:/a:novell:opensuse:libmagickwand-6_q16-1-32bit, p-cpe:/a:novell:opensuse:libmagickwand-6_q16-1-debuginfo, p-cpe:/a:novell:opensuse:libmagickwand-6_q16-1-debuginfo-32bit, p-cpe:/a:novell:opensuse:perl-perlmagick, p-cpe:/a:novell:opensuse:perl-perlmagick-debuginfo, cpe:/o:novell:opensuse:42.1, cpe:/o:novell:opensuse:42.2
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2017/3/2
参照情報
CVE: CVE-2016-10046, CVE-2016-10048, CVE-2016-10049, CVE-2016-10050, CVE-2016-10051, CVE-2016-10052, CVE-2016-10059, CVE-2016-10060, CVE-2016-10061, CVE-2016-10062, CVE-2016-10063, CVE-2016-10064, CVE-2016-10065, CVE-2016-10068, CVE-2016-10069, CVE-2016-10070, CVE-2016-10071, CVE-2016-10144, CVE-2016-10145, CVE-2016-10146, CVE-2016-9773, CVE-2017-5506, CVE-2017-5507, CVE-2017-5508, CVE-2017-5510, CVE-2017-5511