Amazon Linux 2023:ImageMagick、ImageMagick-c++、ImageMagick-c++-devel (ALAS2023-2026-1611)
high Nessus Plugin ID 311318
語言:
概要
遠端 Amazon Linux 2023 主機缺少一個安全性更新。說明
因此,會受到 ALAS2023-2026-1611 公告中所提及的多個弱點影響。ImageMagick 是用於編輯和操控數位映像的免費開放原始碼軟體。在低於 7.1.2-189 和 6.9.13-44的版本中,當「Magick」解析 XML 檔案時,可能會寫出一個零位元組。此問題已在 6.9.13-44 和 7.1.2-19 版中修正。(CVE-2026-33899)
ImageMagick 是用於編輯和操控數位映像的免費開放原始碼軟體。在低於 7.1.2-19 和 6.9.13-44的版本中,當透過「sample:offset」定義設定特定偏移時,-sample 運算會讀取出界,可能導致越界讀取。此問題已在 6.9.13-44 和 7.1.2-19 版中修正。(CVE-2026-33905)
ImageMagick 是用於編輯和操控數位映像的免費開放原始碼軟體。在低於 7.1.2-19 和 6.9.13-44的版本中,Magick 會透過「DestroyXMLTree()」函式釋放 XML 樹的記憶體;然而,此過程是遞迴執行,且不施加深度限制。當 Magick 處理具有深度巢狀結構的 XML 檔案時,會耗盡堆疊記憶體,導致拒絕服務(DoS)攻擊。此問題已在 6.9.13-44 和 7.1.2-19 版中修正。(CVE-2026-33908)
ImageMagick 是用於編輯和操控數位映像的免費開放原始碼軟體。在以下 7.1.2-19版本中,製作的映像檔在寫入 yaml 或 json 輸出時可能導致堆積寫入界外,導致當機。7.1.2-19 版已修正此問題。(CVE-2026-40169)
ImageMagick 是用於編輯和操控數位映像的免費開放原始碼軟體。在 和 7.1.2-196.9.13-44以下的版本包含一個堆積,當使用者指定無效取樣索引時,JP2 編碼器會寫入 。這個問題已經在版本 6.9.13-44 和 7.1.2-19中被修正。
(CVE-2026-40310)
ImageMagick 是用於編輯和操控數位映像的免費開放原始碼軟體。以下7.1.2-196.9.13-44版本及包含一個堆積使用後(heap-use-for-free)漏洞,可能導致讀取及列印無效 XMP 設定檔的值時當機。此問題已在 6.9.13-44 和 7.1.2-19 版中修正。(CVE-2026-40311)
Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
執行「dnf update ImageMagick --releasever 2023.11.20260427」或「dnf update --advisory ALAS2023-2026-1611 --releasever 2023.11.20260427」以更新系統。另請參閱
https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1611.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2026-33899.html
https://explore.alas.aws.amazon.com/CVE-2026-33905.html
https://explore.alas.aws.amazon.com/CVE-2026-33908.html
https://explore.alas.aws.amazon.com/CVE-2026-40169.html
Plugin 詳細資訊
嚴重性: High
ID: 311318
檔案名稱: al2023_ALAS2023-2026-1611.nasl
版本: 1.1
類型: Local
代理程式: unix
已發布: 2026/4/30
已更新: 2026/4/30
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.0
CVSS v2
風險因素: Medium
基本分數: 6.6
時間性分數: 4.9
媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:N/A:C
CVSS 評分資料來源: CVE-2026-33905
CVSS v3
風險因素: High
基本分數: 7.1
時間性分數: 6.2
媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:amazon:linux:imagemagick-debugsource, p-cpe:/a:amazon:linux:imagemagick, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:imagemagick-c%2b%2b-devel, p-cpe:/a:amazon:linux:imagemagick-c%2b%2b-debuginfo, p-cpe:/a:amazon:linux:imagemagick-debuginfo, p-cpe:/a:amazon:linux:imagemagick-perl-debuginfo, p-cpe:/a:amazon:linux:imagemagick-c%2b%2b, p-cpe:/a:amazon:linux:imagemagick-doc, p-cpe:/a:amazon:linux:imagemagick-perl, p-cpe:/a:amazon:linux:imagemagick-libs, p-cpe:/a:amazon:linux:imagemagick-libs-debuginfo, p-cpe:/a:amazon:linux:imagemagick-devel
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/4/30
弱點發布日期: 2026/4/13
參考資訊
CVE: CVE-2026-33899, CVE-2026-33905, CVE-2026-33908, CVE-2026-40169, CVE-2026-40310, CVE-2026-40311