偵測

Oracle Linux 5 : ImageMagick (ELSA-2012-0301)

medium Nessus Plugin ID 68472

語系:

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

來自 Red Hat 安全性公告 2012:0301:

現已提供適用於 Red Hat Enterprise Linux 5 的更新版 ImageMagick 套件,可修正一個安全性問題和多個錯誤。

Red Hat 安全性回應團隊已將此更新評等為具有低安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

ImageMagick 是適用於 X Windows System 的影像顯示和操控工具,可以讀取和寫入多種影像格式。

據發現,ImageMagick 公用程式嘗試從目前工作目錄中載入 ImageMagick 組態檔。如果使用者在含有特製 ImageMagick 組態檔的受攻擊者控制目錄中執行 ImageMagick 公用程式,可引發該公用程式執行任意程式碼。(CVE-2010-4167)

此更新也可修正下列錯誤:

* 在先前的版本中,當沒有可用的影像資訊時,「identify -verbose」命令宣告失敗。已經套用上游修補程式,因此現在能正確呼叫 GetImageOption()。現在即使沒有可用的影像資訊,「identify -verbose」命令仍可正確運作。(BZ#502626)

* 在先前的版本中,因信號資料型別使用不正確而導致鎖死問題。結果造成 ImageMagick 公用程式在轉換 JPEG 檔案成 PDF (可攜式文件格式) 檔案時可能沒有回應。上述鎖死問題已透過一個修補程式加以解決,因此 JPEG 檔案現在可以正確轉換成 PDF 檔案。(BZ#530592)

* 在先前的版本中,搭配「-color」選項執行「convert」命令因記憶體配置錯誤而失敗。原始程式碼已針對修正記憶體配置問題而完成修改。現在,使用「convert」命令搭配「-color」選項可以正常運作。
(BZ#616538)

* 在先前的版本中,ImageMagick 可能會在使用「display」命令來處理損壞的 GIF 檔案時沒有回應。原始程式碼已針對防止該問題發生而完成修改。ImageMagick 現在會在所述狀況中發出錯誤訊息。現在檔案選取器會開啟,因此使用者可以選擇其他可顯示的影像。(BZ#693989)

* 在此更新版本之前,「convert」命令未正確處理旋轉的 PDF 檔案。結果導致輸出轉譯成縱向,使得內容被裁剪。透過此更新,PDF 轉譯幾何將經修改,而且「convert」命令產生的輸出會正確轉譯為橫向。(BZ#694922)

建議所有 ImageMagick 使用者皆升級至這些更新版套件,其中包含可更正這些問題的反向移植修補程式。
必須重新啟動 ImageMagick 的所有運行中執行個體後,此更新才會生效。

解決方案

更新受影響的 imagemagick 套件。

另請參閱

https://oss.oracle.com/pipermail/el-errata/2012-March/002652.html

Plugin 詳細資訊

嚴重性: Medium

ID: 68472

檔案名稱: oraclelinux_ELSA-2012-0301.nasl

版本: 1.10

類型: local

代理程式: unix

已發布: 2013/7/12

已更新: 2021/1/14

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.9

時間分數: 5.1

媒介: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:oracle:linux:imagemagick, p-cpe:/a:oracle:linux:imagemagick-c%2b%2b, p-cpe:/a:oracle:linux:imagemagick-c%2b%2b-devel, p-cpe:/a:oracle:linux:imagemagick-devel, p-cpe:/a:oracle:linux:imagemagick-perl, cpe:/o:oracle:linux:5

必要的 KB 項目: Host/local_checks_enabled, Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2012/3/7

弱點發布日期: 2010/11/22

參考資訊

CVE: CVE-2010-4167

BID: 25763, 28821, 28822, 35111, 45044

RHSA: 2012:0301