Azure Linux 3.0 安全性更新:CBL-Mariner Releases (CVE-2026-33416)
high Nessus Plugin ID 304713
語言:
概要
遠端 Azure Linux 主機缺少一個或多個安全性更新。說明
遠端 Azure Linux 3.0 主機上安裝的 CBL-Mariner Releases 為測試前的版本。因此,它會受到 CVE-2026-33416 公告中提及的一個弱點影響。- LIBPNG 是讀取、建立及操控 PNG (可攜式網路圖形) 點陣影像檔案的應用程式中使用的參照程式庫。在 1.2.1 至 1.6.55版中`png_set_tRNS` 與 `png_set_PLTE` 各有一個 `png_struct` 與 `png_info` 之間的堆積配置緩衝區別名其在具有獨立存留期的兩個結構中共用單一配置。`trans_alpha` 別名至少從 libpng 1.0開始存在而且 `palette` 別名至少從 1.2.1開始存在。兩者都會影響所有先前的版本行 `png_set_tRNS` 設定 `png_ptr->trans_alpha = info_ptr->trans_alpha` (256 位元組緩衝區)且 `png_set_PLTE` 設定 `info_ptr->palette = png_ptr->palette` (768 位元組緩衝區)。在這兩種情況下呼叫 `png_free_data` (使用 `PNG_FREE_TRNS` 或 `PNG_FREE_PLTE`) 可透過 `info_ptr` 釋放緩衝區而對應的 `png_ptr` 指標仍懸置。後續 row-transform 函式解除參照並在某些程式碼路徑中寫入釋放的記憶體。對 `png_set_tRNS` 或 `png_set_PLTE` 的第二次呼叫具有相同效果因為這兩個函式都會在內部呼叫 `png_free_data`然後再重新配置 `info_ptr` 緩衝區。1.6.56 版可修復此問題。 (CVE-2026-33416)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。Plugin 詳細資訊
嚴重性: High
ID: 304713
檔案名稱: azure_linux_CVE-2026-33416.nasl
版本: 1.2
類型: Local
已發布: 2026/4/3
已更新: 2026/4/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 7.6
時間性分數: 6
媒介: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2026-33416
CVSS v3
風險因素: High
基本分數: 7.5
時間性分數: 6.7
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: x-cpe:/o:microsoft:azure_linux, p-cpe:/a:microsoft:azure_linux:libpng
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/AzureLinux/release, Host/AzureLinux/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2026/3/10
弱點發布日期: 2026/3/10
參考資訊
CVE: CVE-2026-33416
IAVA: 2026-A-0272