Debian dla-4342 : gimp - 安全更新
high Nessus 插件 ID 271202
语言:
简介
远程 Debian 主机上缺少一个或多个与安全相关的更新。描述
远程 Debian 11 主机上安装的多个程序包受到 dla-4342 公告中提及的多个漏洞影响。- ------------------------------------------------------------------------- Debian LTS Advisory DLA-4342-1 [email protected] https://www.debian.org/lts/security/Sylvain Beucler 2025 年 10 月 22 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------
程序包: gimp 版本: 2.10.22-4+deb11u3 CVE ID : CVE-2025-2760 CVE-2025-2761 CVE-2025-5473 CVE-2025-6035 CVE-2025-10922 CVE-2025-48797 CVE-2025-48798 Debian 缺陷: 1105005 1107758 1116459
在 GNU 图像处理程序 GIMP 中发现多个漏洞,如果打开格式错误的 DDS、FLI、ICO、DICOM、TGA 或 XCF 图像,或者是在超大图像上使用 Despeckle 插件时,可导致拒绝服务或任意代码执行。
CVE-2025-2760
GIMP XWD 文件解析整数溢出远程代码执行漏洞。XWD 文件的解析中存在特定缺陷。此问题是未正确验证用户提供的数据所致,这可导致在分配缓冲区前出现整数溢出。攻击者可利用此漏洞在当前进程环境中执行代码。为 ZDI-CAN-25082。
CVE-2025-2761
GIMP FLI 文件解析越界写入远程代码执行漏洞。FLI 文件的解析中存在特定缺陷。此问题之所以存在,是未正确验证用户提供的数据所致,这可导致写入范围超过所分配缓冲区的末尾。攻击者可利用此漏洞在当前进程环境中执行代码。为 ZDI-CAN-25100。
CVE-2025-5473
GIMP ICO 文件解析整数溢出远程代码执行漏洞。ICO 文件的解析中存在特定缺陷。此问题是未正确验证用户提供的数据所致,这可导致在写入内存前出现整数溢出。攻击者可利用此漏洞在当前进程环境中执行代码。为 ZDI-CAN-26752。
CVE-2025-6035
GIMP Despeckle 插件中存在一个整数溢出漏洞。发生此问题是由于未检查图像尺寸的乘法计算,例如宽度、高度和每像素字节 (img_bpp),从而导致分配的内存不足,进而引发执行越界写入。此问题可导致堆损坏、潜在拒绝服务 (DoS),或在某些情况下导致任意代码执行。
CVE-2025-10922
ZDI-CAN-27863 : GIMP DCM 文件解析基于堆的缓冲区溢出远程代码执行漏洞
CVE-2025-48797
处理某些 TGA 图像文件时存在缺陷。如果用户打开这些由攻击者特制的图像文件之一,GIMP 便有可能遭到诱骗而发生严重的内存错误,从而可能导致崩溃和堆缓冲区溢出。
CVE-2025-48798
处理某些 XCF 图像文件时存在缺陷。如果用户打开这些由攻击者特制的图像文件之一,GIMP 便有可能遭到诱骗而发生严重的内存错误,从而可能导致崩溃和释放后使用问题。
对于 Debian 11 bullseye,已在 2.10.22-4+deb11u3 版本中修复这些问题。
建议您升级 gimp 程序包。
如需了解 gimp 的详细安全状态,请参阅其安全跟踪页面:
https://security-tracker.debian.org/tracker/gimp
有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息,请访问以下网址:https://wiki.debian.org/LTS
Tenable 已直接从 Debian 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 gimp 程序包。另见
https://security-tracker.debian.org/tracker/source-package/gimp
https://security-tracker.debian.org/tracker/CVE-2025-10922
https://security-tracker.debian.org/tracker/CVE-2025-2760
https://security-tracker.debian.org/tracker/CVE-2025-2761
https://security-tracker.debian.org/tracker/CVE-2025-48797
https://security-tracker.debian.org/tracker/CVE-2025-48798
https://security-tracker.debian.org/tracker/CVE-2025-5473
插件详情
严重性: High
ID: 271202
文件名: debian_DLA-4342.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2025/10/22
最近更新时间: 2025/10/22
支持的传感器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2025-5473
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:libgimp2.0, p-cpe:/a:debian:debian_linux:libgimp2.0-doc, p-cpe:/a:debian:debian_linux:gimp, p-cpe:/a:debian:debian_linux:gimp-data, p-cpe:/a:debian:debian_linux:libgimp2.0-dev
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2025/10/22
漏洞发布日期: 2025/4/23
参考资料信息
CVE: CVE-2025-10922, CVE-2025-2760, CVE-2025-2761, CVE-2025-48797, CVE-2025-48798, CVE-2025-5473, CVE-2025-6035
IAVB: 2025-B-0092