ImageMagick-6.7.8.9-13.el7
エラータID: AXSA:2016-233:02
リリース日:
2016/05/10 Tuesday - 01:00
題名:
ImageMagick-6.7.8.9-13.el7
影響のあるチャネル:
Asianux Server 7 for x86_64
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- ImageMagick の (1) EPHEMERAL, (2) HTTPS, (3) MVG, (4) MSL, (5) TEXT,
(6) SHOW, (7) WIN, (8) PLT コーダには,巧妙に細工されたイメージのシェ
ルメタキャラクタ,別名 "ImageTragick"によって,リモートの攻撃者が任意
のコードを実行する脆弱性があります。(CVE-2016-3714)
- ImageMagick の EPHEMERAL コーダには,巧妙に細工されたイメージに
よって,リモートの攻撃者が任意のファイルを削除する脆弱性があります。
(CVE-2016-3715)
- ImageMagick の MSL コーダには,巧妙に細工されたイメージによって,
リモートの攻撃者が任意のファイルを移動する脆弱性があります。
(CVE-2016-3716)
- ImageMagick の LABEL コーダには,巧妙に細工されたイメージによって,
リモートの攻撃者が任意のファイルを読み込む脆弱性があります。
(CVE-2016-3717)
- ImageMagick の (1) HTTP and (2) FTP コーダには,巧妙に細工されたイ
メージによって,リモートの攻撃者がサーバサイドリクエストフォージェリ
(SSRF) 攻撃を行う脆弱性があります。(CVE-2016-3718)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2016-3714
The (1) EPHEMERAL, (2) HTTPS, (3) MVG, (4) MSL, (5) TEXT, (6) SHOW, (7) WIN, and (8) PLT coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to execute arbitrary code via shell metacharacters in a crafted image, aka "ImageTragick."
The (1) EPHEMERAL, (2) HTTPS, (3) MVG, (4) MSL, (5) TEXT, (6) SHOW, (7) WIN, and (8) PLT coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to execute arbitrary code via shell metacharacters in a crafted image, aka "ImageTragick."
CVE-2016-3715
The EPHEMERAL coder in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allows remote attackers to delete arbitrary files via a crafted image.
The EPHEMERAL coder in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allows remote attackers to delete arbitrary files via a crafted image.
CVE-2016-3716
The MSL coder in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allows remote attackers to move arbitrary files via a crafted image.
The MSL coder in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allows remote attackers to move arbitrary files via a crafted image.
CVE-2016-3717
The LABEL coder in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allows remote attackers to read arbitrary files via a crafted image.
The LABEL coder in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allows remote attackers to read arbitrary files via a crafted image.
CVE-2016-3718
The (1) HTTP and (2) FTP coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to conduct server-side request forgery (SSRF) attacks via a crafted image.
The (1) HTTP and (2) FTP coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to conduct server-side request forgery (SSRF) attacks via a crafted image.
追加情報:
N/A
ダウンロード:
SRPMS
- ImageMagick-6.7.8.9-13.el7.src.rpm
MD5: da42d9cd0f542effd4480d64a0922498
SHA-256: 15c6e91f89cd594b86646b508dd8611c21c91e20ab90859eaf4d45fae6f78106
Size: 7.51 MB
Asianux Server 7 for x86_64
- ImageMagick-6.7.8.9-13.el7.x86_64.rpm
MD5: f03b444da731d68fa53667d605f66079
SHA-256: fcd6172a1193796a78d5cb3095fcf38f1e4257b1ef6130683523b91d8b6a8c8f
Size: 2.12 MB - ImageMagick-c++-6.7.8.9-13.el7.x86_64.rpm
MD5: fa28205483c7d086b665f23603718da8
SHA-256: 45fb2761800281e9b3e158b54f765b76aa5a37ca4b7b572974d031de9cfcdace
Size: 144.41 kB - ImageMagick-perl-6.7.8.9-13.el7.x86_64.rpm
MD5: 58d360150590394536a16d48ec83dc0c
SHA-256: 46ba817dd12a07fc8ae02f2d52ec38c790212f3879d94d9ccbe6b8d05dc90dce
Size: 146.39 kB - ImageMagick-6.7.8.9-13.el7.i686.rpm
MD5: e120c232e8f70433164b137a0cca5f24
SHA-256: 8954c064efe23b84f661f740b22995799e8a938ae428972ea624da045b7a66f8
Size: 2.05 MB - ImageMagick-c++-6.7.8.9-13.el7.i686.rpm
MD5: ff63b3e268bd4558b382ae7e2ed89dc9
SHA-256: df18448236ae47b1911bff234851235c3e2dc30d8ac2bfe11c042dc77e4a620b
Size: 151.34 kB