ブログ

ImageMagickの脆弱性(CVE-2016-3714他)について

画像処理ソフト ImageMagick に脆弱性(CVE-2016-3714他) が確認されましたのでお知らせいたします。

画像ファイルをアップロードできる遠隔の第三者によって、ImageMagick を実行するユーザの権限で任意のコードを実行される可能性があります。
その他、ファイルの消去、移動、読み込み、SSRFの脆弱性が見つかっています。
これらの問題は “ImageTragick” とも呼ばれています。

本脆弱性やその影響については以下を参照してください。

*Japan Vulnerability Notes JVNVU#92998929
ImageMagick に入力値検証不備の脆弱性
https://jvn.jp/vu/JVNVU92998929/

対象バージョン

以下のバージョンが影響を受けます。

ImageMagick
– 6 系列 6.9.3-9 およびそれ以前
– 7 系列 7.0.1-0 およびそれ以前

OpenPNE オープンソース版のデフォルト値では ImageMagic の使用は off になっています。
https://github.com/openpne/OpenPNE3/blob/master/config/OpenPNE.yml.sample#L163

但し、 ImageMagick の モジュールは enabled になっています。

対策

ImageMagickを最新版にアップデートしてください。
現在、脆弱性アップデート版として ImageMagick 6.9.4-0 および 7.0.1-2 がリリースされています。
あわせて、次の手順を参考にシステム構成のセキュリティ強化や設定ファイルの更新を行ってください。

・ImageMagick による画像ファイルの処理を行う前に、その画像ファイル先頭の “magic bytes” が適切な値であることを確認する
・ImageMagick のポリシーファイルにおいて、脆弱な coder を無効化する

詳細は、ウェブサイト ImageTragick (imagetragick.com) を参照してください。
なお、2016/05/10 までに以下の修正版パッケージは存在していません。
・Debian7,8
Debian に 6.9.3-10 以上のパッケージは存在しない
https://tracker.debian.org/pkg/imagemagick
・CentOS5
cent5系 は 6.2 系
6.9.3-10以上のパッケージは存在しない

検証コード

参照ページ:https://github.com/ImageTragick/PoCs

$ git clone https://github.com/ImageTragick/PoCs.git
$ cd PoCs
$ ./test.sh

それぞれのテストに対して脆弱性が存在する場合は「UNSAFE」
問題ない場合は「SAFE」が表示されます。

参考

* redhat: ImageTragick – ImageMagick Filtering Vulnerability – CVE-2016-3714
https://access.redhat.com/security/vulnerabilities/2296071

* ImageTragic
https://imagetragick.com/

* ImageMagick に入力値検証不備の脆弱性
https://www.jpcert.or.jp/at/2016/at160021.html

* まとめ
http://d.hatena.ne.jp/Kango/20160504/1462352882


■公式SNS
https://sns.openpne.jp/
OpenPNEユーザーの皆さんが気軽にコミュニケーションができるQ&Aサイトです。
どなたでも無料で利用できます。(facebook、google、twitter の各アカウントでログインが可能です。)

■技術サポートサービス
http://support.pne.jp/
OpenPNE開発元の手嶋屋が提供しているサービスです。
有料になりますがこちらにお申し込みいただきますと弊社のOpenPNE開発エンジニアがOpenPNEの様々なトラブルについて、調査・サポートさせていただきます。

今後とも、OpenPNE 技術サポートをよろしくお願いいたします。