摘要:
ImageMagick security update
安全等级: High
公告ID: KylinSec-SA-2025-2753
发布日期: 2025年8月12日
关联CVE: CVE-2025-53101 CVE-2025-53019 CVE-2025-53014 CVE-2025-53015
使用ImageMagick创建、编辑、组合或转换位图图像。该工具支持读写200多种图像格式,包括PNG、JPEG、GIF、HEIC、TIFF、DPX、EXR、WebP、Postscript、PDF和SVG。可通过ImageMagick实现图像缩放、翻转、镜像、旋转、扭曲、倾斜和变形,调整图像色彩,应用各种特效,或绘制文本、线条、多边形、椭圆和贝塞尔曲线。
安全修复:
ImageMagick是用于编辑和处理数字图像的自由开源软件。7.1.2-0和6.9.13-26之前的版本在`InterpretImageFilename`函数中存在堆缓冲区溢出漏洞。该问题源于处理包含连续百分号(`%%`)的格式字符串时,因差一错误导致内存越界访问。7.1.2-0和6.9.13-26版本已修复此问题。(CVE-2025-53014)
在ImageMagick 7.1.1及更早版本(图像处理软件)中发现被归类为"有问题"的漏洞。CWE将该问题归类为CWE-835:产品包含无法达到退出条件的迭代或循环(即无限循环),将影响系统可用性。升级至7.1.2-0版本可消除此漏洞。(CVE-2025-53015)
ImageMagick是用于编辑和处理数字图像的自由开源软件。在7.1.2-0和6.9.13-26之前的版本中,当在ImageMagick的`magick stream`命令中指定文件名模板包含多个连续的`%d`格式说明符时,会导致内存泄漏。7.1.2-0和6.9.13-26版本已修复此问题。(CVE-2025-53019)
ImageMagick是用于编辑和处理数字图像的自由开源软件。在7.1.2-0和6.9.13-26之前的版本中,当在ImageMagick的`magick mogrify`命令中指定文件名模板包含多个连续的`%d`格式说明符时,内部指针运算会生成低于堆栈缓冲区起始地址的指针,从而通过`vsnprintf()`导致堆栈溢出。7.1.2-0和6.9.13-26版本已修复此问题。(CVE-2025-53101)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2025-53101 | V6 | ImageMagick | Fixed |
| CVE-2025-53019 | V6 | ImageMagick | Fixed |
| CVE-2025-53014 | V6 | ImageMagick | Fixed |
| CVE-2025-53015 | V6 | ImageMagick | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| ImageMagick | x86_64 | 7.1.1.15-3.ks6 |
| ImageMagick-c++ | x86_64 | 7.1.1.15-3.ks6 |
| ImageMagick-c++-devel | x86_64 | 7.1.1.15-3.ks6 |
| ImageMagick-devel | x86_64 | 7.1.1.15-3.ks6 |
| ImageMagick-help | x86_64 | 7.1.1.15-3.ks6 |
| ImageMagick-perl | x86_64 | 7.1.1.15-3.ks6 |
| ImageMagick | aarch64 | 7.1.1.15-3.ks6 |
| ImageMagick-c++ | aarch64 | 7.1.1.15-3.ks6 |
| ImageMagick-c++-devel | aarch64 | 7.1.1.15-3.ks6 |
| ImageMagick-devel | aarch64 | 7.1.1.15-3.ks6 |
| ImageMagick-help | aarch64 | 7.1.1.15-3.ks6 |
| ImageMagick-perl | aarch64 | 7.1.1.15-3.ks6 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
