偵測

RHEL 5 : ImageMagick (RHSA-2012:0301)

high Nessus Plugin ID 58055

語言:

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 5 的更新版 ImageMagick 套件,可修正一個安全性問題和多個錯誤。

Red Hat 安全性回應團隊已將此更新評等為具有低安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

ImageMagick 是適用於 X Windows System 的影像顯示和操控工具,可以讀取和寫入多種影像格式。

據發現,ImageMagick 公用程式嘗試從目前工作目錄中載入 ImageMagick 組態檔。如果使用者在含有特製 ImageMagick 組態檔的受攻擊者控制目錄中執行 ImageMagick 公用程式,可引發該公用程式執行任意程式碼。(CVE-2010-4167)

此更新也可修正下列錯誤:

* 在先前的版本中,當沒有可用的影像資訊時,「identify -verbose」命令宣告失敗。已經套用上游修補程式,因此現在能正確呼叫 GetImageOption()。現在即使沒有可用的影像資訊,「identify -verbose」命令仍可正確運作。(BZ#502626)

* 在先前的版本中,因信號資料型別使用不正確而導致鎖死問題。結果造成 ImageMagick 公用程式在轉換 JPEG 檔案成 PDF (可攜式文件格式) 檔案時可能沒有回應。上述鎖死問題已透過一個修補程式加以解決,因此 JPEG 檔案現在可以正確轉換成 PDF 檔案。(BZ#530592)

* 在先前的版本中,搭配「-color」選項執行「convert」命令因記憶體配置錯誤而失敗。原始程式碼已針對修正記憶體配置問題而完成修改。現在,使用「convert」命令搭配「-color」選項可以正常運作。
(BZ#616538)

* 在先前的版本中,ImageMagick 可能會在使用「display」命令來處理損壞的 GIF 檔案時沒有回應。原始程式碼已針對防止該問題發生而完成修改。ImageMagick 現在會在所述狀況中發出錯誤訊息。現在檔案選取器會開啟,因此使用者可以選擇其他可顯示的影像。(BZ#693989)

* 在此更新版本之前,「convert」命令未正確處理旋轉的 PDF 檔案。結果導致輸出轉譯成縱向,使得內容被裁剪。透過此更新,PDF 轉譯幾何將經修改,而且「convert」命令產生的輸出會正確轉譯為橫向。(BZ#694922)

建議所有 ImageMagick 使用者皆升級至這些更新版套件,其中包含可更正這些問題的反向移植修補程式。
必須重新啟動 ImageMagick 的所有運行中執行個體後,此更新才會生效。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?84e3a967

https://access.redhat.com/errata/RHSA-2012:0301

https://access.redhat.com/security/updates/classification/#low

https://bugzilla.redhat.com/show_bug.cgi?id=580535

https://bugzilla.redhat.com/show_bug.cgi?id=652860

Plugin 詳細資訊

嚴重性: High

ID: 58055

檔案名稱: redhat-RHSA-2012-0301.nasl

版本: 1.22

類型: local

代理程式: unix

已發布: 2012/2/21

已更新: 2024/4/27

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

Vendor

Vendor Severity: Low

CVSS v2

風險因素: Medium

基本分數: 6.9

時間性分數: 5.1

媒介: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2010-4167

CVSS v3

風險因素: High

基本分數: 7.3

時間性分數: 6.4

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:imagemagick-devel, p-cpe:/a:redhat:enterprise_linux:imagemagick-perl, cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:imagemagick-c%2b%2b, p-cpe:/a:redhat:enterprise_linux:imagemagick, p-cpe:/a:redhat:enterprise_linux:imagemagick-c%2b%2b-devel

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2012/2/21

弱點發布日期: 2010/11/22

參考資訊

CVE: CVE-2010-4167

BID: 45044

RHSA: 2012:0301