在影像處理工具集 GraphicsMagick 中發現數個弱點，可能會造成拒絕服務攻擊、遠端檔案刪除和遠端命令執行。此安全性更新移除了 PLT/Gnuplot 解碼器的全部支援，以避免出現為了修正 CVE-2016-3714 弱點所造成的 Gnuplot-shell 型 shell 安全漏洞。讀取未記載的「TMP」magick 首碼以修正 CVE-2016-3715 弱點之後，magick 首碼不會再移除引數檔案。由於已部署「TMP」功能，GraphicsMagick 加入暫時檔案管理子系統，確保日後不需使用此功能後會移除暫時檔案。將讀取 shell 命令的輸入，或將輸出寫入 shell 命令的支援移除，方法是在指定檔名 (含有命令) 前面加上「|」首碼以修正 CVE-2016-5118 弱點。- CVE-2015-8808 Gustavo Grieco 發現剖析 GIF 檔案存在一個超出邊界讀取問題，可能會導致拒絕服務。- CVE-2016-2317 Gustavo Grieco 發現在處理 SVG 影像時會發生一個堆疊型緩衝區溢位和兩個堆積型緩衝區溢位問題，可能會導致拒絕服務。- CVE-2016-2318 Gustavo Grieco 發現在處理 SVG 影像時會發生數個區段錯誤，可能會導致拒絕服務。- CVE-2016-5240 Gustavo Grieco 發現在剖析 SVG 檔案時，負數的 stroke-dasharray 引數會造成無限迴圈問題，可能會導致拒絕服務。- CVE-2016-7800 Marco Grassi 發現在剖析 JPG 檔案常見的 8BIM 附加區塊時，會出現導致堆積溢位的無正負號反向溢位問題，可能會造成拒絕服務。- CVE-2016-7996 Moshe Kaplan 發現 WPG 讀取程式中並未檢查給定的 colormap 沒有超過 256 個項目，可能會造成拒絕服務。- CVE-2016-7997 Moshe Kaplan 發現因為邏輯錯誤導致 WPG 讀取程式中會擲出若干檔案的宣告，可能會造成拒絕服務。- CVE-2016-8682 Gentoo 的 Agostino Sarubbo 發現在讀取 SCT 標頭時會發生堆疊緩衝區讀取溢位，可能會造成拒絕服務。- CVE-2016-8683 Gentoo 的 Agostino Sarubbo 發現 PCX 編碼器中發生記憶體配置失敗，可能會造成拒絕服務。- CVE-2016-8684 Gentoo 的 Agostino Sarubbo 發現 SGI 編碼器中發生記憶體配置失敗，可能會造成拒絕服務。- CVE-2016-9830 Gentoo 的 Agostino Sarubbo 發現 MagickRealloc() 函式中發生記憶體配置失敗，可能會造成拒絕服務。

偵測

Debian DSA-3746-1：graphicsmagick - 安全性更新 (ImageTragick)

critical Nessus Plugin ID 96103

版本 3.10