偵測

Ubuntu 20.04 LTS / 22.04 LTS:ImageMagick 弱點 (USN-6200-2)

medium Nessus Plugin ID 204796

語系:

概要

遠端 Ubuntu 主機缺少一個或多個安全性更新。

說明

遠端 Ubuntu 20.04 LTS/22.04 LTS 主機上安裝的套件受到 USN-6200-2 公告中所提及的多個弱點影響。

 USN-6200-1 已修正 ImageMagick 中的弱點。遺憾的是,這些針對 Ubuntu 20.04 LTS 和 Ubuntu 22.04 LTS 的修正並不完整。此更新可修正該問題。

 原始公告詳細資料:

 發現 ImageMagick 未正確處理驗證

 適用於受密碼保護 PDF 檔案的選項。攻擊者可能會利用

 此問題以插入其他 shell 命令並執行任意程式碼

 。這個問題只會影響 Ubuntu 20.04 LTS。(CVE-2020-29599)

 發現 ImageMagick 處理 PDF 檔案時,

 未正確處理某些值。如果使用 ImageMagick 的使用者或自動化系統

 遭到誘騙而開啟特製的 PDF 檔案,攻擊者則可

 加以惡意利用來造成拒絕服務。此問題只會影響 Ubuntu

 20.04 LTS。(CVE-2021-20224)

 Zhang Xiaohui 發現 ImageMagick 處理影像資料時,

 未正確處理某些值。如果使用 ImageMagick 的使用者或自動化系統

 遭誘騙而開啟特製的影像,

 攻擊者可加以惡意利用,進而造成拒絕服務。受此問題

 影響的 Ubuntu 20.04 LTS。(CVE-2021-20241、CVE-2021-20243)

 發現 ImageMagick 處理視覺效果影像檔案時,

 未正確處理某些值。透過誘騙使用者

 開啟特製的影像檔案,攻擊者即可癱瘓

 應用程式而造成拒絕服務。此問題只會影響 Ubuntu

 20.04 LTS。(CVE-2021-20244、CVE-2021-20309)

 發現 ImageMagick 進行重新取樣作業時,

 未正確處理某些值。透過誘騙使用者開啟

 特製的影像檔案,遠端攻擊者可癱瘓應用程式

 而造成拒絕服務。這個問題只會影響 Ubuntu 20.04 LTS。

 (CVE-2021-20246)

 發現 ImageMagick 處理縮圖影像資料時,

 未正確處理某些值。透過誘騙使用者開啟

 特製的影像檔案,遠端攻擊者可癱瘓應用程式

 而造成拒絕服務。這個問題只會影響 Ubuntu 20.04 LTS。

 (CVE-2021-20312)

 發現 ImageMagick 執行特定密碼編譯作業時,

 未正確處理記憶體清理。在某些情況下

 可洩漏敏感的密碼編譯資訊。受此問題

 影響的 Ubuntu 20.04 LTS。(CVE-2021-20313)

 發現 ImageMagick 依模組原則明確排除時,

 未使用正確的權限。攻擊者可利用此問題

 讀取和寫入特定受限檔案。此問題只會影響 Ubuntu

 20.04 LTS。(CVE-2021-39212)

 發現 ImageMagick 在特定情況下

 未正確處理記憶體。如果使用者遭誘騙而開啟特製的

 影像檔案,攻擊者可能會惡意利用此問題造成拒絕

 服務或其他不明影響。此問題只會影響 Ubuntu

 20.04 LTS。(CVE-2022-28463、CVE-2022-32545、CVE-2022-32546、CVE-2022-32547)

 發現 ImageMagick 在特定情況下

 未正確處理記憶體。如果使用者遭誘騙而開啟特製的

 影像檔案,攻擊者可能會惡意利用此問題造成拒絕

 服務或其他不明影響。此問題只會影響 Ubuntu

 22.04 LTS、Ubuntu 22.10 和 Ubuntu 23.04。(CVE-2021-3610、CVE-2023-1906、

 CVE-2023-3428)

 發現 ImageMagick 處理特製的 SVG 檔案時,

 未正確處理某些值。透過誘騙使用者

 開啟特製的 SVG 檔案,攻擊者即可癱瘓

 應用程式而造成拒絕服務。此問題只會影響 Ubuntu

 20.04 LTS、Ubuntu 22.04 LTS 和 Ubuntu 22.10 和 Ubuntu 23.04。(CVE-2023-1289)

 發現 ImageMagick 在特定情況下

 未正確處理記憶體。如果使用者遭誘騙而開啟特製的

 tiff 檔案,攻擊者可能會惡意利用此問題造成拒絕

 服務或其他不明影響。此問題只會影響 Ubuntu

 22.04 LTS、Ubuntu 22.10 和 Ubuntu 23.04。(CVE-2023-3195)

 發現 ImageMagick 在特定情況下

 未正確處理記憶體。如果使用者遭誘騙而開啟特製的

 影像檔案,攻擊者可能會惡意利用此問題造成拒絕

 服務或其他不明影響。(CVE-2023-34151)

Tenable 已直接從 Ubuntu 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://ubuntu.com/security/notices/USN-6200-2

Plugin 詳細資訊

嚴重性: Medium

ID: 204796

檔案名稱: ubuntu_USN-6200-2.nasl

版本: 1.2

類型: local

代理程式: unix

已發布: 2024/7/26

已更新: 2024/8/28

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Medium

基本分數: 4.9

時間分數: 3.8

媒介: CVSS2#AV:L/AC:L/Au:N/C:N/I:N/A:C

CVSS 評分資料來源: CVE-2023-34151

CVSS v3

風險因素: Medium

基本分數: 5.5

時間分數: 5

媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:canonical:ubuntu_linux:libmagick%2b%2b-6.q16-8, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:libmagick%2b%2b-dev, p-cpe:/a:canonical:ubuntu_linux:imagemagick, p-cpe:/a:canonical:ubuntu_linux:libmagickwand-6.q16hdri-6, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6.q16-6, p-cpe:/a:canonical:ubuntu_linux:libmagick%2b%2b-6.q16-dev, p-cpe:/a:canonical:ubuntu_linux:imagemagick-common, p-cpe:/a:canonical:ubuntu_linux:imagemagick-6-common, p-cpe:/a:canonical:ubuntu_linux:libmagick%2b%2b-6-headers, p-cpe:/a:canonical:ubuntu_linux:libimage-magick-perl, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6-arch-config, p-cpe:/a:canonical:ubuntu_linux:libmagick%2b%2b-6.q16hdri-dev, p-cpe:/a:canonical:ubuntu_linux:libmagickwand-6.q16-dev, p-cpe:/a:canonical:ubuntu_linux:imagemagick-6.q16hdri, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6.q16-dev, p-cpe:/a:canonical:ubuntu_linux:libimage-magick-q16hdri-perl, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6.q16hdri-6-extra, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-dev, p-cpe:/a:canonical:ubuntu_linux:libmagick%2b%2b-6.q16hdri-8, p-cpe:/a:canonical:ubuntu_linux:libmagickwand-dev, p-cpe:/a:canonical:ubuntu_linux:imagemagick-6.q16, p-cpe:/a:canonical:ubuntu_linux:libmagickwand-6.q16-6, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6.q16hdri-dev, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6.q16hdri-6, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6-headers, p-cpe:/a:canonical:ubuntu_linux:libmagickwand-6.q16hdri-dev, p-cpe:/a:canonical:ubuntu_linux:libmagickcore-6.q16-6-extra, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:perlmagick, p-cpe:/a:canonical:ubuntu_linux:libimage-magick-q16-perl, p-cpe:/a:canonical:ubuntu_linux:libmagickwand-6-headers

必要的 KB 項目: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2024/7/25

弱點發布日期: 2023/3/23

參考資訊

CVE: CVE-2023-1289, CVE-2023-34151

IAVB: 2023-B-0020-S, 2023-B-0038-S

USN: 6200-2