• 公告ID (KylinSec-SA-2025-2530)

摘要:

gimp security update

安全等级: High

公告ID: KylinSec-SA-2025-2530

发布日期: 2025年6月21日

关联CVE: CVE-2025-2761   CVE-2025-2760  

  • 详细介绍

1. 漏洞描述

   

GIMP 是一款图像合成与编辑程序,可用于创建网页徽标和其他图形内容。该软件提供了丰富的工具和滤镜,包含大型图像处理工具箱,支持通道操作、图层处理、特效、子像素成像与抗锯齿、格式转换等功能,并具备多级撤销操作。GIMP 还提供脚本功能,但部分内置脚本依赖的字体未包含在发行包中。

安全修复:

GIMP XWD 文件解析整数溢出远程代码执行漏洞
该漏洞允许攻击者在受影响版本的 GIMP 上远程执行任意代码。利用此漏洞需要用户交互,即目标用户必须访问恶意网页或打开恶意文件。
具体缺陷存在于 XWD 文件解析过程中,由于未正确验证用户提供的数据,可能导致缓冲区分配前发生整数溢出。攻击者可利用此漏洞在当前进程上下文中执行代码。原编号 ZDI-CAN-25082。(CVE-2025-2760)

GIMP FLI 文件解析越界写入远程代码执行漏洞
该漏洞允许攻击者在受影响版本的 GIMP 上远程执行任意代码。利用此漏洞需要用户交互,即目标用户必须访问恶意网页或打开恶意文件。
具体缺陷存在于 FLI 文件解析过程中,由于未正确验证用户提供的数据,可能导致写入操作超出已分配缓冲区边界。攻击者可利用此漏洞在当前进程上下文中执行代码。原编号 ZDI-CAN-25100。(CVE-2025-2761)

2. 影响范围

cve名称 产品 组件 是否受影响
CVE-2025-2761 V6 gimp Fixed
CVE-2025-2760 V6 gimp Fixed

3. 影响组件

    gimp

4. 修复版本

   

V6

软件名称 架构 版本号
gimp x86_64 3.0.2-1.ks6
gimp-devel x86_64 3.0.2-1.ks6
gimp-extension-goat-excercises x86_64 3.0.2-1.ks6
gimp-libs x86_64 3.0.2-1.ks6
gimp-plugin-aa x86_64 3.0.2-1.ks6
gimp-plugin-python3 x86_64 3.0.2-1.ks6
gimp-vala x86_64 3.0.2-1.ks6
gimp aarch64 3.0.2-1.ks6
gimp-devel aarch64 3.0.2-1.ks6
gimp-extension-goat-excercises aarch64 3.0.2-1.ks6
gimp-libs aarch64 3.0.2-1.ks6
gimp-plugin-aa aarch64 3.0.2-1.ks6
gimp-plugin-python3 aarch64 3.0.2-1.ks6
gimp-vala aarch64 3.0.2-1.ks6

5. 修复方法


方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm

方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名

6. 下载链接

   

V6:

x86_64:

     gimp   

     gimp-devel   

     gimp-extension-goat-excercises   

     gimp-libs   

     gimp-plugin-aa   

     gimp-plugin-python3   

     gimp-vala   

aarch64:

     gimp   

     gimp-devel   

     gimp-extension-goat-excercises   

     gimp-libs   

     gimp-plugin-aa   

     gimp-plugin-python3   

     gimp-vala   

上一篇:KylinSec-SA-2025-2549 下一篇:KylinSec-SA-2025-2552