SUSE SLES11 安全性更新：ImageMagick (SUSE-SU-2016:1782-1)

critical Nessus Plugin ID 93178

語系：

概要

遠端 SUSE 主機缺少一個或多個安全性更新。

說明

ImageMagick 已更新，修正了 55 個安全性問題。

已修正這些安全性問題：

- CVE-2014-9810：dpx 檔案處置程式中的 SEGV (bsc#983803)。

- CVE-2014-9811：xwd 檔案處置程式中的損毀 (bsc#984032)。

- CVE-2014-9812：ps 檔案處理中的 NULL 指標解除參照 (bsc#984137)。

- CVE-2014-9813：損毀 viff 檔案導致的當機 (bsc#984035)。

- CVE-2014-9814：wpg 檔案處理中的 NULL 指標解除參照 (bsc#984193)。

- CVE-2014-9815：損毀 wpg 檔案導致的當機 (bsc#984372)。

- CVE-2014-9816：viff 影像上的超出邊界存取 (bsc#984398)。

- CVE-2014-9817：pdb 檔案處理中的堆積緩衝區溢位 (bsc#984400)。

- CVE-2014-9818：格式錯誤之 sun 檔案上的超出邊界存取 (bsc#984181)。

- CVE-2014-9819：palm 檔案中的堆積溢位 (bsc#984142)。

- CVE-2014-9830：損毀 sun 檔案的處理 (bsc#984135)。

- CVE-2014-9831：損毀 wpg 檔案的處理 (bsc#984375)。

- CVE-2014-9836：xpm 檔案處理中的損毀 (bsc#984023)。

- CVE-2014-9851：剖析資源區塊時發生損毀 (bsc#984160)。

- CVE-2016-5689：dcm 編碼器中的 NULL 指標解除參照 (bsc#985460)。

- CVE-2014-9853：rle 檔案處理中的記憶體洩漏 (bsc#984408)。

- CVE-2015-8902：PDB 檔案 DoS (CPU 消耗) (bsc#983253)。

- CVE-2015-8903：vicar 中的拒絕服務 (cpu) (bsc#983259)。

- CVE-2015-8901：MIFF 檔案 DoS (無限迴圈) (bsc#983234)。

- CVE-2014-9834：pict 檔案中的堆積溢位 (bsc#984436)。

- CVE-2014-9806：防止損毀檔案導致的檔案描述符號洩漏 (bsc#983774)。

- CVE-2014-9838：magick/cache.c 中的記憶體不足損毀 (bsc#984370)。

- CVE-2014-9854：識別 TIFF 影像時填滿記憶體 (bsc#984184)。

- CVE-2015-8898：在 magick/constitute.c 中禁止 NULL 指標存取 (bsc#983746)。

- CVE-2015-8894：coders/tga.c:221 中的重複釋放 (bsc#983523)。

- CVE-2015-8896：coders/pict.c:2000 中的重複釋放 / 整數截斷問題 (bsc#983533)。

- CVE-2015-8897：SpliceImage 中的超出邊界錯誤 (bsc#983739)。

- CVE-2016-5690：DCM 編碼器中的錯誤 foor 迴圈 (bsc#985451)。

- CVE-2016-5691：在 dcm 編碼器中檢查 pixel.red/green/blue (bsc#985456)。

- CVE-2014-9805：因損毀 pnm 檔案造成的 SEGV。
(bsc#983752)。

- CVE-2014-9808：因損毀 dpc 影像造成的 SEGV。
(bsc#983796)。

- CVE-2014-9820：xpm 檔案中的堆積溢位 (bsc#984150)。

- CVE-2014-9823：palm 檔案中的堆積溢位 (bsc#984401)。

- CVE-2014-9822：quantum 檔案中的堆積溢位 (bsc#984187)。

- CVE-2014-9839：magick/colormap-private.h 中理論上的超出邊界存取 (bsc#984379)。

- CVE-2014-9824：psd 檔案中的堆積溢位 (bsc#984185)。

- CVE-2014-9809：修正損毀的 xwd 影像導致的 SEGV。
(bsc#983799)。

- CVE-2014-9826：sun 檔案中的錯誤處理不正確 (bsc#984186)。

- CVE-2014-9842：psd 處理中的記憶體洩漏 (bsc#984374)。

- CVE-2016-5687：DDS 編碼器中的超出邊界讀取 (bsc#985448)。

- CVE-2014-9840：palm 檔案中的超出邊界存取 (bsc#984433)。

- CVE-2014-9847：JNG 解碼器中未正確處理「上一個」影像 (bsc#984144)。

- CVE-2014-9846：新增檢查以防止 rle 檔案發生溢位。(bsc#983521)。

- CVE-2014-9845：因損毀 dib 檔案造成的當機 (bsc#984394)。

- CVE-2014-9844：rle 檔案中的超出邊界問題 (bsc#984373)。

- CVE-2014-9849：png 編碼器中的損毀 (bsc#984018)。

- CVE-2016-5688：ImageMagick WPG 中的多種無效記憶體讀取問題 (bsc#985442)。

- CVE-2014-9807：修正 pdb 編碼器中的一個重複釋放問題。
(bsc#983794)。

- CVE-2014-9829：sun 檔案中的超出邊界存取 (bsc#984409)。

- CVE-2016-4564：ImageMagick 中 MagickCore/draw.c 的 DrawImage 函式提出不正確的函式呼叫以嘗試找出下一個 token，其允許遠端攻擊者造成拒絕服務 (緩衝區溢位和應用程式損毀)，或是可能透過特製檔案造成其他不明影響 (bsc#983308)。

- CVE-2016-4563：ImageMagick 中 MagickCore/draw.c 的 TraceStrokePolygon 函式不當處理 BezierQuantum 值和特定按鍵輸入資料之間的關係，其允許遠端攻擊者造成拒絕服務 (緩衝區溢位和應用程式損毀)，或可能透過特製檔案造成其他不明影響 (bsc#983305)。

- CVE-2016-4562：ImageMagick 中 MagickCore/draw.c 的 DrawDashPolygon 函式不當處理特定頂點整數資料的計算，其允許遠端攻擊者造成拒絕服務 (緩衝區溢位和應用程式損毀)，或可能透過特製檔案造成其他不明影響 (bsc#983292)。

- CVE-2014-9837：其他 PNM 功能健全檢查 (bsc#984166)。

- CVE-2014-9835：wpf 檔案中的堆積溢位 (bsc#984145)。

- CVE-2014-9828：損毀的 (太多色彩) psd 檔案 (bsc#984028)。

- CVE-2016-5841：整數溢位可讀取 RCE (bnc#986609)。

- CVE-2016-5842：MagickCore/property.c:1396 中的超出邊界讀取錯誤可導致記憶體洩漏 (bnc#986608)。

請注意，Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

解決方案

若要安裝此 SUSE 安全性更新，請使用 YaST online_update。
或者，也可以執行針對您的產品所列的命令：

SUSE Linux Enterprise Software Development Kit 11-SP4：

zypper in -t patch sdksp4-ImageMagick-12643=1

SUSE Linux Enterprise Server 11-SP4：

zypper in -t patch slessp4-ImageMagick-12643=1

SUSE Linux Enterprise Debuginfo 11-SP4：

zypper in -t patch dbgsp4-ImageMagick-12643=1

若要使您的系統保持在最新狀態，請使用「zypper 修補程式」。