Amazon Linux 2023:ImageMagick、ImageMagick-c++、ImageMagick-c++-devel (ALAS2023-2026-1611)

medium Nessus 插件 ID 311318

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此,该软件受到 ALAS2023-2026-1611 公告中提及的多个漏洞影响。

ImageMagick 是用于编辑和操纵数字图像的免费开源软件。在以下7.1.2-1896.9.13-44版本和 中,“Magick”解析 XML 文件时,可能会越界写入单个零字节。此问题已在 6.9.13-44 和 7.1.2-19 版本中修复。(CVE-2026-33899)

ImageMagick 是用于编辑和操纵数字图像的免费开源软件。在低于 7.1.2-19 和 6.9.13-44的版本中,通过可导致越界读取的“sample:offset”定义设置特定偏移时,-sample 操作具有越界读取。此问题已在 6.9.13-44 和 7.1.2-19 版本中修复。(CVE-2026-33905)

ImageMagick 是用于编辑和操纵数字图像的免费开源软件。在低于 7.1.2-19 和 6.9.13-44的版本中,Magick 通过“DestroyXMLTree()”函数释放 XML 树的内存;但是,此过程以递归方式执行,没有深度限制。当 Magick 处理具有深度嵌套结构的 XML 文件时,它将耗尽堆栈内存,从而导致拒绝服务 (DoS) 攻击。此问题已在 6.9.13-44 和 7.1.2-19 版本中修复。(CVE-2026-33908)

ImageMagick 是用于编辑和操纵数字图像的免费开源软件。在以下 7.1.2-19版本中,特制的图像可在写入 yaml 或 json 输出时导致越界堆写入,从而导致崩溃。此问题已在 7.1.2-19 版本中修复。(CVE-2026-40169)

ImageMagick 是用于编辑和操纵数字图像的免费开源软件。低于 和 6.9.13-44的版本在7.1.2-19用户指定无效的采样索引时,JP2 编码器中包含堆越界写入。已在版本 6.9.13-44 和 7.1.2-19中修复此问题。
(CVE-2026-40310)

ImageMagick 是用于编辑和操纵数字图像的免费开源软件。以下7.1.2-196.9.13-44版本和包含堆释放后使用漏洞,从无效 XMP 配置文件读取和打印值时可造成崩溃。此问题已在 6.9.13-44 和 7.1.2-19 版本中修复。(CVE-2026-40311)

处理具有无效索引的已连接组件构件时,ImageMagick 之前 7.1.2-19 的 ConnectedComponentsImage() 中包含一个越界访问漏洞。攻击者可通过 CLI 指定畸形的连接组件定义来触发访问冲突,从而造成拒绝服务或可能执行代码。(CVE-2026-56370)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“dnf update ImageMagick --releasever 2023.11.20260427”或“dnf update --advisory ALAS2023-2026-1611 --releasever 2023.11.20260427”以更新系统。

另见

https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1611.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2026-33899.html

https://explore.alas.aws.amazon.com/CVE-2026-33905.html

https://explore.alas.aws.amazon.com/CVE-2026-33908.html

https://explore.alas.aws.amazon.com/CVE-2026-40169.html

https://explore.alas.aws.amazon.com/CVE-2026-40310.html

https://explore.alas.aws.amazon.com/CVE-2026-40311.html

https://explore.alas.aws.amazon.com/CVE-2026-56370.html

插件详情

严重性: Medium

ID: 311318

文件名: al2023_ALAS2023-2026-1611.nasl

版本: 1.2

类型: Local

代理: unix

发布时间: 2026/4/30

最近更新时间: 2026/6/30

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.9

百分位: 58.02

CVSS v2

风险因素: High

基本分数: 7.2

时间分数: 5.3

矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2026-56370

CVSS v3

风险因素: High

基本分数: 7.8

时间分数: 6.8

矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

风险因素: Medium

Base Score: 4.8

Threat Score: 1.1

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N

漏洞信息

CPE: p-cpe:/a:amazon:linux:imagemagick-c%2b%2b-debuginfo, p-cpe:/a:amazon:linux:imagemagick-perl-debuginfo, p-cpe:/a:amazon:linux:imagemagick-debuginfo, p-cpe:/a:amazon:linux:imagemagick-debugsource, p-cpe:/a:amazon:linux:imagemagick-devel, p-cpe:/a:amazon:linux:imagemagick-c%2b%2b, p-cpe:/a:amazon:linux:imagemagick, p-cpe:/a:amazon:linux:imagemagick-libs, p-cpe:/a:amazon:linux:imagemagick-doc, p-cpe:/a:amazon:linux:imagemagick-perl, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:imagemagick-c%2b%2b-devel, p-cpe:/a:amazon:linux:imagemagick-libs-debuginfo

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2026/4/30

漏洞发布日期: 2026/4/13

参考资料信息

CVE: CVE-2026-33899, CVE-2026-33905, CVE-2026-33908, CVE-2026-40169, CVE-2026-40310, CVE-2026-40311, CVE-2026-56370