Amazon Linux 2023:ImageMagick、ImageMagick-c++、ImageMagick-c++-devel (ALAS2023-2026-1500)
high Nessus 插件 ID 304613
语言:
简介
远程 Amazon Linux 2023 主机缺少安全更新。描述
因此,该软件受到 ALAS2023-2026-1500 公告中提及的多个漏洞影响。在 ImageMagick 中发现一个缺陷。SIXEL 解码器中存在整数溢出漏洞允许远程攻击者通过特别构建的图像执行越界写入。这可导致拒绝服务 (DoS) 并可能导致信息泄露。 (CVE-2026-28493)
在 ImageMagick 中发现一个缺陷。此漏洞为堆栈缓冲区溢出漏洞允许攻击者通过提供恶意构建的内核字符串造成堆栈损坏。这可能会导致任意代码执行或拒绝服务 (DoS) 从而影响系统的可用性和完整性。
(CVE-2026-28494)
在用于编辑和处理数字图像的免费开源软件 ImageMagick 中发现一个缺陷。由于输出缓冲区分配过小本地攻击者可利用 PCL 编码中的一个堆缓冲区溢出漏洞。这可导致拒绝服务 (DoS) 造成软件不可用,并可能影响数据完整性。 (CVE-2026-28686)
在用于编辑和处理数字图像的免费开源软件 ImageMagick 中发现一个缺陷。ImageMagick 的 MSLMagick 脚本语言解码器中存在堆释放后使用漏洞允许攻击者通过构建恶意 MSL 文件来触发对已释放内存的访问。这可导致拒绝服务。 (CVE-2026-28687)
ImageMagick 是用于编辑和操纵数字图像的免费开源软件。在低于版本 7.1.2-16 和 6.9.13-41的版本中MSL 编码器中存在释放后堆使用漏洞克隆图像被破坏两次。MSL 编码器不支持写入 MSL因此写入功能已删除。此漏洞已在 7.1.2-16 和 6.9.13-41 中修复。(CVE-2026-28688)
在 ImageMagick一种用于编辑和处理数字图像的免费开源软件中发现一个缺陷。存在一个检查时间与使用时间 (TOCTOU) 漏洞表现为在最终打开或使用文件之前检查文件路径的授权。本地攻击者可通过在 check-time 和 use-time 之间执行符号链接交换以利用此漏洞从而绕过策略拒绝的读取/写入操作。这可导致信息泄露和未经授权的文件修改。 (CVE-2026-28689)
ImageMagick 是用于编辑和操纵数字图像的免费开源软件。在低于版本 7.1.2-16 和 6.9.13-41的版本中MNG 编码器中存在堆栈缓冲区溢出漏洞。缺少边界检查可能会损坏含有攻击者控制数据的堆栈。此漏洞已在 7.1.2-16 和 6.9.13-41 中修复。(CVE-2026-28690)
ImageMagick 是用于编辑和操纵数字图像的免费开源软件。在低于版本 7.1.2-16 和 6.9.13-41的版本中JBIG 解码器中存在未初始化指针取消引用漏洞这是因为缺少检查所致。此漏洞已在 7.1.2-16 和 6.9.13-41 中修复。(CVE-2026-28691)
在 ImageMagick一种用于编辑和处理数字图像的免费开源软件中发现一个缺陷。由于使用 32 位算法时括号不正确远程攻击者可利用 MAT 解码器中的堆过度读取漏洞。这可导致敏感信息泄露和拒绝服务 (DoS) 情况。 (CVE-2026-28692)
在 ImageMagick一种用于编辑和处理数字图像的免费开源软件中发现一个缺陷。DIB设备无关位图编码器组件中的一个整数溢出漏洞可被远程攻击者利用。此缺陷通过处理特别构建的图像文件可能会造成越界读取或写入从而可能导致任意代码执行、权限提升、信息泄露或拒绝服务 (DoS)。 (CVE-2026-28693)
在 ImageMagick一种用于编辑和处理数字图像的免费开源软件中发现一个缺陷。本地攻击者可通过在对 PNG 图像进行编码时提供极大的图像配置文件来利用此漏洞。这可能会造成堆溢出进而造成拒绝服务 (DoS)进而使受影响的系统或应用程序对合法用户不可用。 (CVE-2026-30883)
ImageMagick 是用于编辑和操纵数字图像的免费开源软件。在低于版本 7.1.2-16 和 6.9.13-41的情况下MagnifyImage 使用固定大小的堆栈缓冲区。使用特定图像时可能导致缓冲区溢出并损坏堆栈。此漏洞已在 7.1.2-16 和 6.9.13-41 中修复。(CVE-2026-30929)
在 ImageMagick 中发现一个缺陷这是一款用于编辑和处理数字图像的免费开源软件。远程攻击者可以通过向用户提供特制的图像来利用此漏洞当使用 -wavelet-enoise 操作处理该图像时可导致越界堆写入。此问题可导致拒绝服务 (DoS)从而造成应用程序变得不稳定或崩溃。 (CVE-2026-30936)
用于编辑和操纵数字图像的软件套件 ImageMagick 中发现一个缺陷。处理极大的图像时 XWD (X Windows) 编码器中存在一个整数溢出漏洞。此缺陷可导致内存分配过小从而导致越界写入堆。本地攻击者可利用此问题造成拒绝服务 (DoS) 或可能影响数据完整性。
(CVE-2026-30937)
ImageMagick 是用于编辑和操纵数字图像的免费开源软件。在 7.1.2-16 和 6.9.13-41之前的版本中处理极大的图像时32 位系统中的溢出可导致 SFW 解码器崩溃。此漏洞已在 7.1.2-16 和 6.9.13-41 中修复。(CVE-2026-31853)
ImageMagick 是用于编辑和操纵数字图像的免费开源软件。在 7.1.2-16 和 6.9.13-41之前的版本中当ixel 编码器中的内存分配失败时可能会在堆栈上写入超过缓冲区的末尾。此漏洞已在 7.1.2-16 和 6.9.13-41中修复。
(CVE-2026-32259)
Tenable 已直接从测试产品的安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行“dnf update ImageMagick --releasever 2023.10.20260330”或“dnf update --advisory ALAS2023-2026-1500 --releasever 2023.10.20260330”以更新系统。另见
https://explore.alas.aws.amazon.com/CVE-2026-28687.html
https://explore.alas.aws.amazon.com/CVE-2026-28688.html
https://explore.alas.aws.amazon.com/CVE-2026-28689.html
https://explore.alas.aws.amazon.com/CVE-2026-28690.html
https://explore.alas.aws.amazon.com/CVE-2026-28691.html
https://explore.alas.aws.amazon.com/CVE-2026-28692.html
https://explore.alas.aws.amazon.com/CVE-2026-28693.html
https://explore.alas.aws.amazon.com/CVE-2026-30883.html
https://explore.alas.aws.amazon.com/CVE-2026-30929.html
https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1500.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2026-28493.html
https://explore.alas.aws.amazon.com/CVE-2026-28494.html
https://explore.alas.aws.amazon.com/CVE-2026-28686.html
https://explore.alas.aws.amazon.com/CVE-2026-30936.html
https://explore.alas.aws.amazon.com/CVE-2026-30937.html
插件详情
严重性: High
ID: 304613
文件名: al2023_ALAS2023-2026-1500.nasl
版本: 1.2
类型: Local
代理: unix
发布时间: 2026/4/1
最近更新时间: 2026/4/3
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2026-30929
CVSS v3
风险因素: High
基本分数: 7.8
时间分数: 6.8
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:amazon:linux:imagemagick-c%2b%2b-debuginfo, p-cpe:/a:amazon:linux:imagemagick-perl-debuginfo, p-cpe:/a:amazon:linux:imagemagick-debuginfo, p-cpe:/a:amazon:linux:imagemagick-debugsource, p-cpe:/a:amazon:linux:imagemagick-devel, p-cpe:/a:amazon:linux:imagemagick-c%2b%2b, p-cpe:/a:amazon:linux:imagemagick, p-cpe:/a:amazon:linux:imagemagick-libs, p-cpe:/a:amazon:linux:imagemagick-doc, p-cpe:/a:amazon:linux:imagemagick-perl, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:imagemagick-c%2b%2b-devel, p-cpe:/a:amazon:linux:imagemagick-libs-debuginfo
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2026/4/1
漏洞发布日期: 2026/3/9
参考资料信息
CVE: CVE-2026-28493, CVE-2026-28494, CVE-2026-28686, CVE-2026-28687, CVE-2026-28688, CVE-2026-28689, CVE-2026-28690, CVE-2026-28691, CVE-2026-28692, CVE-2026-28693, CVE-2026-30883, CVE-2026-30929, CVE-2026-30936, CVE-2026-30937, CVE-2026-31853, CVE-2026-32259
IAVB: 2026-B-0078