ImageMagick-6.7.2.7-4.AXS4
エラータID: AXSA:2016-450:01
リリース日:
2016/05/24 Tuesday - 18:10
題名:
ImageMagick-6.7.2.7-4.AXS4
影響のあるチャネル:
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity:
High
Description:
- ImageMagick の (1) EPHEMERAL, (2) HTTPS, (3) MVG, (4) MSL, (5) TEXT, (6) SHOW, (7) WIN, (8) PLT コーダには、巧妙に細工されたイメージのシェルメタキャラクタによって、リモートの攻撃者が任意のコードを実行する脆弱性、別名 "ImageTragick" があります。(CVE-2016-3714)
- ImageMagick の EPHEMERAL コーダには、巧妙に細工されたイメージによって、リモートの攻撃者が任意のファイルを削除する脆弱性があります。(CVE-2016-3715)
- ImageMagick の MSL コーダには、巧妙に細工されたイメージによって、リモートの攻撃者が任意のファイルを移動する脆弱性があります。 (CVE-2016-3716)
- ImageMagick の LABEL コーダには、巧妙に細工されたイメージによって、リモートの攻撃者が任意のファイルを読み込む脆弱性があります。(CVE-2016-3717)
- ImageMagick の (1) HTTP, (2) FTP コーダには、巧妙に細工されたイメージによって、リモートの攻撃者がサーバサイドリクエストフォージェリ (SSRF) 攻撃を行う脆弱性があります。 (CVE-2016-3718)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2016-3714
The (1) EPHEMERAL, (2) HTTPS, (3) MVG, (4) MSL, (5) TEXT, (6) SHOW, (7) WIN, and (8) PLT coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to execute arbitrary code via shell metacharacters in a crafted image, aka "ImageTragick."
The (1) EPHEMERAL, (2) HTTPS, (3) MVG, (4) MSL, (5) TEXT, (6) SHOW, (7) WIN, and (8) PLT coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to execute arbitrary code via shell metacharacters in a crafted image, aka "ImageTragick."
CVE-2016-3715
The EPHEMERAL coder in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allows remote attackers to delete arbitrary files via a crafted image.
The EPHEMERAL coder in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allows remote attackers to delete arbitrary files via a crafted image.
CVE-2016-3716
The MSL coder in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allows remote attackers to move arbitrary files via a crafted image.
The MSL coder in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allows remote attackers to move arbitrary files via a crafted image.
CVE-2016-3717
The LABEL coder in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allows remote attackers to read arbitrary files via a crafted image.
The LABEL coder in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allows remote attackers to read arbitrary files via a crafted image.
CVE-2016-3718
The (1) HTTP and (2) FTP coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to conduct server-side request forgery (SSRF) attacks via a crafted image.
The (1) HTTP and (2) FTP coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to conduct server-side request forgery (SSRF) attacks via a crafted image.
追加情報:
N/A
ダウンロード:
SRPMS
- ImageMagick-6.7.2.7-4.AXS4.src.rpm
MD5: ef1b0f5c167a6f995123d941d47e04b8
SHA-256: 338e18dbfd37c835973b2941c24c2171395cd49c95e703cfe8e9608a02075f42
Size: 12.05 MB
Asianux Server 4 for x86
- ImageMagick-6.7.2.7-4.AXS4.i686.rpm
MD5: 40f2fb48d132cbc15a7c4d47ac01828b
SHA-256: 22ce619659af36dc4a9fd8758044800587267ea582170b874667b8714129d2fc
Size: 1.87 MB - ImageMagick-c++-6.7.2.7-4.AXS4.i686.rpm
MD5: 286cb7a53fab465fd51f281fbaae86be
SHA-256: 1fb510808059b6ffcacd76df3cbe462028752aca689300ffaeed014d4d14bf07
Size: 143.88 kB
Asianux Server 4 for x86_64
- ImageMagick-6.7.2.7-4.AXS4.x86_64.rpm
MD5: fe80b76ddc6e92ceb76b2d4fe9d29ac7
SHA-256: ca8b831aef0bccf2d5b78ad8f7d80b2ee9498044b2e8af4439edb35ec44d89ee
Size: 1.91 MB - ImageMagick-c++-6.7.2.7-4.AXS4.x86_64.rpm
MD5: 923af3f5108135ddf8fb0ec9b6fc2032
SHA-256: 9b2e5919df9c5b1c89ebd4e377267171da9ed7c26a09f9ccc75fb67eb31d58b8
Size: 138.03 kB - ImageMagick-6.7.2.7-4.AXS4.i686.rpm
MD5: 40f2fb48d132cbc15a7c4d47ac01828b
SHA-256: 22ce619659af36dc4a9fd8758044800587267ea582170b874667b8714129d2fc
Size: 1.87 MB