Debian dla-4429imagemagick - 安全更新
medium Nessus 插件 ID 281533
语言:
简介
远程 Debian 主机上缺少一个或多个与安全相关的更新。描述
远程 Debian 11 主机上存在安装的程序包该程序包受到 dla-4429 公告中提及的多个漏洞的影响。- ------------------------------------------------- ------------------------ Debian LTS 公告 DLA-4429-1 [email protected] https://www.debian.org/lts/security/Bastien Roucaris 2025 年 12 月 31 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------
程序包imagemagick 版本 8:6.9.11.60+dfsg-1.3+deb11u8 CVE ID CVE-2025-65955 CVE-2025-66628 CVE-2025-68469 CVE-2025-68618 CVE-2025-68950 CVE-2025-69204 Debian 缺陷1122584 1122827
修复了流行的图像处理套件 imagemagick 中的多种漏洞。
CVE-2025-65955
在 ImageMagick 的 Magick ++ 层中发现漏洞在通过空字符串调用 Options::fontFamily 时会出现。清除字体系列调用 中的 RelinquishMagickMemory
_drawInfo->font释放字体字符串但使 _drawInfo->font 指向已释放的内存同时将 _drawInfo->family 设置为该指针现已无效。此后对 _drawInfo->font 的任何清理或重复使用都会导致空悬内存被重新释放或取消引用。DestroyDrawInfo 和其他 setterOptions::font、Image::font假定 _drawInfo->font 仍然有效因此销毁或后续更新会触发崩溃或堆损坏
CVE-2025-66628
TIM (PSX TIM) 映像解析器在其 ReadTIMImage 函数 (coders/tim.c) 中包含一个危急整数溢出漏洞。该代码从文件标头读取宽度和高度16 位值并计算 image_size = 2 * 宽度 * 高度而不检查溢出。在 32 位系统或 size_t 为 32 位的系统中当宽度和高度很大例如 65535时此计算可能会溢出封装为一个较小的值
CVE-2025-68469
ImageMagick 在处理构建的 TIFF 文件时崩溃
CVE-2025-68618
Magick 无法限制 SVG 文件读取的深度造成了 DoS 攻击。
CVE-2025-68950
Magick 未能限制形成循环的 MVG 相互引用
CVE-2025-69204
将恶意 MVG 文件转换为 SVG 造成整数溢出。
对于 Debian 11 Bullseye这些问题已在版本 8:6.9.11.60+dfsg-1.3+deb11u8 中修复。
建议您升级 imagemagick 程序包。
如需了解 imagemagick 的详细安全状态,请参阅其安全跟踪页面:
https://security-tracker.debian.org/tracker/imagemagick
有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息,请访问以下网址:https://wiki.debian.org/LTS
Tenable 已直接从 Debian 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 imagemagick 程序包。另见
https://security-tracker.debian.org/tracker/source-package/imagemagick
https://security-tracker.debian.org/tracker/CVE-2025-65955
https://security-tracker.debian.org/tracker/CVE-2025-66628
https://security-tracker.debian.org/tracker/CVE-2025-68469
https://security-tracker.debian.org/tracker/CVE-2025-68618
https://security-tracker.debian.org/tracker/CVE-2025-68950
插件详情
严重性: Medium
ID: 281533
文件名: debian_DLA-4429.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2025/12/31
最近更新时间: 2025/12/31
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Low
基本分数: 2.1
时间分数: 1.6
矢量: CVSS2#AV:L/AC:L/Au:N/C:N/I:N/A:P
CVSS 分数来源: CVE-2025-68469
CVSS v3
风险因素: Low
基本分数: 3.3
时间分数: 3
矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
风险因素: Medium
Base Score: 5.1
Threat Score: 2
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:imagemagick-common, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:libimage-magick-q16-perl, p-cpe:/a:debian:debian_linux:libmagickcore-6-arch-config, p-cpe:/a:debian:debian_linux:imagemagick-6-common, p-cpe:/a:debian:debian_linux:libmagick%2b%2b-6-headers, p-cpe:/a:debian:debian_linux:libmagick%2b%2b-6.q16hdri-8, p-cpe:/a:debian:debian_linux:libmagickcore-6.q16hdri-dev, p-cpe:/a:debian:debian_linux:libmagickwand-6.q16hdri-dev, p-cpe:/a:debian:debian_linux:libmagickwand-6.q16hdri-6, p-cpe:/a:debian:debian_linux:libmagickcore-dev, p-cpe:/a:debian:debian_linux:libmagickcore-6-headers, p-cpe:/a:debian:debian_linux:libmagick%2b%2b-dev, p-cpe:/a:debian:debian_linux:libmagickwand-dev, p-cpe:/a:debian:debian_linux:libmagickwand-6.q16-dev, p-cpe:/a:debian:debian_linux:libimage-magick-q16hdri-perl, p-cpe:/a:debian:debian_linux:libmagick%2b%2b-6.q16hdri-dev, p-cpe:/a:debian:debian_linux:libmagickcore-6.q16-6, p-cpe:/a:debian:debian_linux:libmagickcore-6.q16-dev, p-cpe:/a:debian:debian_linux:libmagickwand-6-headers, p-cpe:/a:debian:debian_linux:imagemagick, p-cpe:/a:debian:debian_linux:imagemagick-6.q16, p-cpe:/a:debian:debian_linux:imagemagick-6.q16hdri, p-cpe:/a:debian:debian_linux:libmagickcore-6.q16hdri-6-extra, p-cpe:/a:debian:debian_linux:libimage-magick-perl, p-cpe:/a:debian:debian_linux:libmagick%2b%2b-6.q16-dev, p-cpe:/a:debian:debian_linux:libmagickcore-6.q16hdri-6, p-cpe:/a:debian:debian_linux:imagemagick-6-doc, p-cpe:/a:debian:debian_linux:libmagickcore-6.q16-6-extra, p-cpe:/a:debian:debian_linux:imagemagick-doc, p-cpe:/a:debian:debian_linux:libmagick%2b%2b-6.q16-8, p-cpe:/a:debian:debian_linux:perlmagick, p-cpe:/a:debian:debian_linux:libmagickwand-6.q16-6
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2025/12/31
漏洞发布日期: 2025/8/25
参考资料信息
CVE: CVE-2025-65955, CVE-2025-66628, CVE-2025-68469, CVE-2025-68618, CVE-2025-68950, CVE-2025-69204
IAVB: 2025-B-0196-S, 2025-B-0205