Sicherheitslücken erlauben unter anderem Remote Code Execution

Schwachstellen-Alarm in ImageMagick
Kommentare

Schwachstellen-Alarm bei ImageMagick: Gleich mehrere Schwachstellen wurden in der Software-Suite, die zur Verarbeitung von Bildern in zahlreichen Web-Services zum Einsatz kommt, gefunden – und bereits „In the Wild“ eingesetzt! Usern wird darum dringend dazu geraten, so schnell wie möglich entsprechende Maßnahmen gegen die Schwachstellen vorzunehmen.

ImageMagick wird von zahlreichen Web-Services genutzt, ebenso sind verschiedene Bildverarbeitungs-Plugins wie etwa PHPs imagick, Rubys rmagick und paperclip oder das in Node.js genutzte imagemagick von der Library abhängig. Auch in Content-Management-Systemen wie TYPO3 kommt das Package zum Einsatz; die TYPO3-Entwickler haben bereits einen Hinweis auf die entdeckten Schwachstellen veröffentlicht. TYPO3-Usern wird geraten, die TYPO3-CMS-Konfiguration zu ändern und stattdessen GraphicsMagick zur Bildverarbeitung zu nutzen. Alternativ können mithilfe eines Policy-Files die anfälligen ImageMagick-Coder ausgeschaltet werden.

Remote-Code-Execution-Schwachstelle in ImageMagick

Gleich mehrere Schwachstellen wurden in ImageMagick gefunden, darunter eine Sicherheitslücke, die Remote Code Execution ermöglicht, wenn von Nutzern hochgeladene Bilder verarbeitet werden. So erlaubt das Package die Verarbeitung von Dateien mithilfe von externen Libraries; dafür zuständig ist das delegate-Feature. Unterstützt werden mehrere Formate, darunter SVG und MVG, die externe Dateien aus unterstützten Protokollen – wie etwa Delegates – beinhalten können. Webservices, die ImageMagick zur Verarbeitung von Bildern nutzen, die von Usern bereitgestellt werden und als Default delegates.xml / policy.xml verwenden, sind darum für die gefundene Schwachstelle anfällig.

Da die Sicherheitslücke bereits von Angreifern „In the Wild“ ausgenutzt wird, sollten User des Packages so schnell wie möglich eine der beiden auf der Schwachstellen-Enthüllungsseite genannten Aktionen durchführen:

  • verifizieren, dass alle Bilddateien mit den erwarteten „magic bytes“ beginnen, bevor sie zur Verarbeitung an die Library übergeben werden
  • Die anfälligen ImageMagick-Coder mithilfe eines Policy-Files ausschalten

Weitere Schwachstellen

Neben der oben genannten Sicherheitslücke wurden noch vier weitere Schwachstellen gefunden. CVE-2016-3718 ermöglicht HTTP-GET– oder FTP-Requests, CVE-2016-3715 sorgt dafür, dass Dateien nach dem Lesen gelöscht werden. Außerdem ermöglicht CVE-2016-3716 Angreifern es, Bilddateien beliebig zu verschieben, während CVE-2016-3117 das Abrufen von Dateicontent vom Server ermöglicht.

Mehr Informationen zu allen Schwachstellen bietet die oben bereits angesprochene Website; hier finden sich auch noch mal Tipps, wie User des Packages sich jetzt verhalten sollten.

Aufmacherbild: Fire alarm on the wall von Shutterstock / Urheberrecht: palmzads

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -