Amazon Linux 2:ImageMagick,--advisory ALAS2-2026-3278 (ALAS-2026-3278)
high Nessus Plugin ID 311220
語言:
概要
遠端 Amazon Linux 2 主機缺少安全性更新。說明
遠端主機上安裝的 ImageMagick 版本是 6.9.10.97-1 之前的版本。因此,它會受到 ALAS2-2026-3278 公告中所提及的多個弱點影響。ImageMagick 是用於編輯和操控數位映像的免費開放原始碼軟體。在 和 7.1.2-186.9.13-43之前,存在一個超出界限的零位元組寫入,存在 X11 於「顯示」互動路徑中,可能導致當機。版本 7.1.2-18 並 6.9.13-43 修補問題。(CVE-2026-33535)
ImageMagick 是用於編輯和操控數位映像的免費開放原始碼軟體。在 和 7.1.2-186.9.13-43之前,由於某些平台上的回傳值錯誤,指標會被遞增超過堆疊中緩衝區的末端,這可能導致越界寫入。版本 7.1.2-18 並 6.9.13-43 修補問題。(CVE-2026-33536)
ImageMagick 是用於編輯和操控數位映像的免費開放原始碼軟體。在低於 7.1.2-189 和 6.9.13-44的版本中,當「Magick」解析 XML 檔案時,可能會寫出一個零位元組。此問題已在 6.9.13-44 和 7.1.2-19 版中修正。(CVE-2026-33899)
ImageMagick 是用於編輯和操控數位映像的免費開放原始碼軟體。在低於 7.1.2-19 和 6.9.13-44的版本中,當透過「sample:offset」定義設定特定偏移時,-sample 運算會讀取出界,可能導致越界讀取。此問題已在 6.9.13-44 和 7.1.2-19 版中修正。(CVE-2026-33905)
ImageMagick 是用於編輯和操控數位映像的免費開放原始碼軟體。在低於 7.1.2-19 和 6.9.13-44的版本中,Magick 會透過「DestroyXMLTree()」函式釋放 XML 樹的記憶體;然而,此過程是遞迴執行,且不施加深度限制。當 Magick 處理具有深度巢狀結構的 XML 檔案時,會耗盡堆疊記憶體,導致拒絕服務(DoS)攻擊。此問題已在 6.9.13-44 和 7.1.2-19 版中修正。(CVE-2026-33908)
ImageMagick 是用於編輯和操控數位映像的免費開放原始碼軟體。在以下 7.1.2-19版本中,製作的映像檔在寫入 yaml 或 json 輸出時可能導致堆積寫入界外,導致當機。7.1.2-19 版已修正此問題。(CVE-2026-40169)
ImageMagick 是用於編輯和操控數位映像的免費開放原始碼軟體。在 和 7.1.2-196.9.13-44以下的版本包含一個堆積,當使用者指定無效取樣索引時,JP2 編碼器會寫入 。這個問題已經在版本 6.9.13-44 和 7.1.2-19中被修正。
(CVE-2026-40310)
ImageMagick 是用於編輯和操控數位映像的免費開放原始碼軟體。以下7.1.2-196.9.13-44版本及包含一個堆積使用後(heap-use-for-free)漏洞,可能導致讀取及列印無效 XMP 設定檔的值時當機。此問題已在 6.9.13-44 和 7.1.2-19 版中修正。(CVE-2026-40311)
ImageMagick 是用於編輯和操控數位映像的免費開放原始碼軟體。以下版本 7.1.2-19中,MSL 解碼器若誤差一個錯誤,就可能導致惡意 MSL 檔案被讀取時當機。7.1.2-19 版已修正此問題。(CVE-2026-40312)
Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
執行「yum update ImageMagick」或「yum update --advisory ALAS2-2026-3278」以更新系統。另請參閱
https://alas.aws.amazon.com//AL2/ALAS2-2026-3278.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2026-33535.html
https://explore.alas.aws.amazon.com/CVE-2026-33536.html
https://explore.alas.aws.amazon.com/CVE-2026-33899.html
https://explore.alas.aws.amazon.com/CVE-2026-33905.html
https://explore.alas.aws.amazon.com/CVE-2026-33908.html
https://explore.alas.aws.amazon.com/CVE-2026-40169.html
https://explore.alas.aws.amazon.com/CVE-2026-40310.html
Plugin 詳細資訊
嚴重性: High
ID: 311220
檔案名稱: al2_ALAS-2026-3278.nasl
版本: 1.1
類型: Local
代理程式: unix
已發布: 2026/4/30
已更新: 2026/4/30
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.0
CVSS v2
風險因素: Medium
基本分數: 6.6
時間性分數: 4.9
媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:N/A:C
CVSS 評分資料來源: CVE-2026-33905
CVSS v3
風險因素: High
基本分數: 7.1
時間性分數: 6.2
媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:amazon:linux:imagemagick-debuginfo, p-cpe:/a:amazon:linux:imagemagick-devel, p-cpe:/a:amazon:linux:imagemagick-c%2b%2b, p-cpe:/a:amazon:linux:imagemagick, p-cpe:/a:amazon:linux:imagemagick-doc, p-cpe:/a:amazon:linux:imagemagick-perl, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:imagemagick-c%2b%2b-devel
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/4/30
弱點發布日期: 2026/3/26
參考資訊
CVE: CVE-2026-33535, CVE-2026-33536, CVE-2026-33899, CVE-2026-33905, CVE-2026-33908, CVE-2026-40169, CVE-2026-40310, CVE-2026-40311, CVE-2026-40312