Amazon Linux 2022: (ALAS2022-2022-164)

high Nessus Plugin ID 167030

Synopsis

遠端 Amazon Linux 2022 主機缺少一個安全性更新。

描述

因此,會受到 ALAS2022-2022-164 公告中所提及的多個弱點影響。

- 在 gem.c 的 ImageMagick 6.9.11-57 和 7.0.10-57 中發現一個除以零缺陷。此缺陷允許攻擊者提交由 ImageMagick 處理的特製檔案,透過除以零的狀況觸發未定義行為。此弱點對系統可用性威脅最大。(CVE-2021-20176)

- 在 coders/jp2.c 的 ImageMagick 中發現一個缺陷。攻擊者提交由 ImageMagick 處理的特製檔案,可觸發數學除以零形式的未定義行為。此弱點對系統可用性威脅最大。(CVE-2021-20241)

- 在 MagickCore/resample.c 的 ImageMagick 中發現一個瑕疵。攻擊者提交由 ImageMagick 處理的特製檔案,可觸發數學除以零形式的未定義行為。此弱點對系統可用性威脅最大。(CVE-2021-20246)

- 在 ImageMagick 7.0.11 之前版本和 6.9.12] 之前版本中發現一個缺陷,其中 MagickCore/visual-effects.c 的 WaveImage() 中的除以零情形可能會透過使用 ImageMagick 構建並提交給應用程式的影像檔案觸發未定義行為。此弱點對系統可用性威脅最大。(CVE-2021-20309)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「dnf update ImageMagick --releasever=2022.0.20221102」以更新系統。

另請參閱

https://alas.aws.amazon.com/cve/html/CVE-2021-20176.html

https://alas.aws.amazon.com/cve/html/CVE-2021-20241.html

https://alas.aws.amazon.com/cve/html/CVE-2021-20246.html

https://alas.aws.amazon.com/cve/html/CVE-2021-20309.html

https://alas.aws.amazon.com/AL2022/ALAS-2022-164.html

Plugin 詳細資訊

嚴重性: High

ID: 167030

檔案名稱: al2022_ALAS2022-2022-164.nasl

版本: 1.2

類型: local

代理程式: unix

已發布: 2022/11/5

已更新: 2022/11/5

支持的傳感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: High

基本分數: 7.8

時間分數: 5.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

時間媒介: CVSS2#E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2021-20309

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:2.3:a:amazon:linux:imagemagick:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:imagemagick-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:imagemagick-devel:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:imagemagick-doc:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:imagemagick-perl:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:imagemagick-c\+\+:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:imagemagick-c\+\+-devel:*:*:*:*:*:*:*, cpe:2.3:o:amazon:linux:2022:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:imagemagick-debugsource:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:imagemagick-libs:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:imagemagick-libs-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:imagemagick-perl-debuginfo:*:*:*:*:*:*:*, p-cpe:2.3:a:amazon:linux:imagemagick-c\+\+-debuginfo:*:*:*:*:*:*:*

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/11/1

弱點發布日期: 2021/2/6

參考資訊

CVE: CVE-2021-20176, CVE-2021-20246, CVE-2021-20241, CVE-2021-20309