Scientific Linux 安全性更新:ImageMagick on SL5.x i386/x86_64
medium Nessus Plugin ID 61255
語系:
概要
遠端 Scientific Linux 主機缺少一個或多個安全性更新。說明
ImageMagick 是適用於 X Windows System 的影像顯示和操控工具,可以讀取和寫入多種影像格式。據發現,ImageMagick 公用程式嘗試從目前工作目錄中載入 ImageMagick 組態檔。如果使用者在含有特製 ImageMagick 組態檔的受攻擊者控制目錄中執行 ImageMagick 公用程式,可引發該公用程式執行任意程式碼。(CVE-2010-4167)
此更新也可修正下列錯誤:
- 之前,沒有可用的影像資訊時,'identify -verbose' 命令宣告失敗。已經套用上游修補程式,因此現在能正確呼叫 GetImageOption()。現在即使沒有可用的影像資訊,「identify -verbose」命令仍可正確運作。
- 之前,因不正確使用信號資料類型而導致鎖死情形。結果造成 ImageMagick 公用程式在轉換 JPEG 檔案成 PDF (可攜式文件格式) 檔案時可能沒有回應。上述鎖死問題已透過一個修補程式加以解決,因此 JPEG 檔案現在可以正確轉換成 PDF 檔案。
- 之前,以 '-color' 選項執行 'convert' 命令時因記憶體配置錯誤而失敗。
原始程式碼已針對修正記憶體配置問題而完成修改。現在,使用「convert」命令搭配「-color」選項可以正常運作。
* 之前,使用 'display' 命令來處理損壞的 GIF 檔案時,ImageMagick 可變得沒有回應。原始程式碼已針對防止該問題發生而完成修改。
ImageMagick 現在會在所述狀況中發出錯誤訊息。現在檔案選取器會開啟,因此使用者可以選擇其他可顯示的影像。
- 在此更新前,'convert' 命令未正確處理旋轉的 PDF 檔案。結果導致輸出轉譯成縱向,使得內容被裁剪。透過此更新,PDF 轉譯幾何將經修改,而且「convert」命令產生的輸出會正確轉譯為橫向。
建議所有 ImageMagick 使用者皆升級至這些更新版套件,其中包含可更正這些問題的反向移植修補程式。
必須重新啟動 ImageMagick 的所有運行中執行個體後,此更新才會生效。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 61255
檔案名稱: sl_20120221_ImageMagick_on_SL5_x.nasl
版本: 1.6
類型: local
代理程式: unix
已發布: 2012/8/1
已更新: 2021/1/14
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 6.9
媒介: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:fermilab:scientific_linux:imagemagick, p-cpe:/a:fermilab:scientific_linux:imagemagick-c%2b%2b, p-cpe:/a:fermilab:scientific_linux:imagemagick-c%2b%2b-devel, p-cpe:/a:fermilab:scientific_linux:imagemagick-debuginfo, p-cpe:/a:fermilab:scientific_linux:imagemagick-devel, p-cpe:/a:fermilab:scientific_linux:imagemagick-perl, x-cpe:/o:fermilab:scientific_linux
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list
修補程式發佈日期: 2012/2/21
弱點發布日期: 2010/11/22
參考資訊
CVE: CVE-2010-4167