检测

Ubuntu 16.04 ESM / 18.04 ESM / 20.04 ESM:GraphicsMagick 漏洞 (USN-5190-1)

critical Nessus 插件 ID 183104

语言:

简介

远程 Ubuntu 主机缺少一个或多个安全更新。

描述

远程 Ubuntu 16.04 ESM / 18.04 ESM / 20.04 ESM 主机上安装的多个程序包受到 USN-5190-1 公告中提及的多个漏洞影响。

 - 在 1.3.32 之前的 GraphicsMagick 中,文本文件名组件允许远程攻击者通过精心设计的图像读取任意文件,这是用于 SVG 的 TranslateTextEx 所致。(CVE-2019-12921)

 - 在 GraphicsMagick 1.4 snapshot-20190403 Q8 中,magick/error.c 的 ThrowException 和 ThrowLoggedException 中存在释放后使用。(CVE-2019-19950)

 - 在 GraphicsMagick 1.4 snapshot-20190423 Q8 中,coders/miff.c 的函数 ImportRLEPixels 中存在基于堆的缓冲区溢出。(CVE-2019-19951)

 - 在 GraphicsMagick 1.4 snapshot-20191208 Q8 中,coders/pict.c 的函数 EncodeImage 中存在基于堆的过度读取。(CVE-2019-19953)

 - 在 1.3.35 之前的 GraphicsMagick 中,magick/compress.c 的 HuffmanDecodeImage 中存在整数溢出和由此产生的基于堆的缓冲区溢出。(CVE-2020-10938)

 - GraphicsMagick 1.3.35 及之前版本的 coders/png.c 的 ReadMNGImage 中存在一个基于堆的缓冲区溢出漏洞。
 (CVE-2020-12672)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://ubuntu.com/security/notices/USN-5190-1

插件详情

严重性: Critical

ID: 183104

文件名: ubuntu_USN-5190-1.nasl

版本: 1.0

类型: local

代理: unix

发布时间: 2023/10/16

最近更新时间: 2023/10/16

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2020-10938

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:esm, cpe:/o:canonical:ubuntu_linux:18.04:-:esm, cpe:/o:canonical:ubuntu_linux:20.04:-:esm, p-cpe:/a:canonical:ubuntu_linux:graphicsmagick, p-cpe:/a:canonical:ubuntu_linux:graphicsmagick-imagemagick-compat, p-cpe:/a:canonical:ubuntu_linux:graphicsmagick-libmagick-dev-compat, p-cpe:/a:canonical:ubuntu_linux:libgraphics-magick-perl, p-cpe:/a:canonical:ubuntu_linux:libgraphicsmagick%2b%2b-q16-12, p-cpe:/a:canonical:ubuntu_linux:libgraphicsmagick%2b%2b1-dev, p-cpe:/a:canonical:ubuntu_linux:libgraphicsmagick%2b%2b3, p-cpe:/a:canonical:ubuntu_linux:libgraphicsmagick-q16-3, p-cpe:/a:canonical:ubuntu_linux:libgraphicsmagick1-dev, p-cpe:/a:canonical:ubuntu_linux:libgraphicsmagick3

必需的 KB 项: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

可利用: true

易利用性: Exploits are available

补丁发布日期: 2022/8/30

漏洞发布日期: 2019/12/24

参考资料信息

CVE: CVE-2019-12921, CVE-2019-19950, CVE-2019-19951, CVE-2019-19953, CVE-2020-10938, CVE-2020-12672

USN: 5190-1