entwickler.de

Schwachstellen-Alarm in ImageMagick

ImageMagick wird von zahlreichen Web-Services genutzt, ebenso sind verschiedene Bildverarbeitungs-Plugins wie etwa PHPs imagick, Rubys rmagick und paperclip oder das in Node.js genutzte imagemagick von der Library abhängig. Auch in Content-Management-Systemen wie TYPO3 kommt das Package zum Einsatz; die TYPO3-Entwickler haben bereits einen Hinweis auf die entdeckten Schwachstellen veröffentlicht. TYPO3-Usern wird geraten, die TYPO3-CMS-Konfiguration zu ändern und stattdessen GraphicsMagick zur Bildverarbeitung zu nutzen. Alternativ können mithilfe eines Policy-Files die anfälligen ImageMagick-Coder ausgeschaltet werden.

Remote-Code-Execution-Schwachstelle in ImageMagick

Gleich mehrere Schwachstellen wurden in ImageMagick gefunden, darunter eine Sicherheitslücke, die Remote Code Execution ermöglicht, wenn von Nutzern hochgeladene Bilder verarbeitet werden. So erlaubt das Package die Verarbeitung von Dateien mithilfe von externen Libraries; dafür zuständig ist das delegate-Feature. Unterstützt werden mehrere Formate, darunter SVG und MVG, die externe Dateien aus unterstützten Protokollen – wie etwa Delegates – beinhalten können. Webservices, die ImageMagick zur Verarbeitung von Bildern nutzen, die von Usern bereitgestellt werden und als Default delegates.xml / policy.xml verwenden, sind darum für die gefundene Schwachstelle anfällig.

Da die Sicherheitslücke bereits von Angreifern „In the Wild“ ausgenutzt wird, sollten User des Packages so schnell wie möglich eine der beiden auf der Schwachstellen-Enthüllungsseite genannten Aktionen durchführen:

Weitere Schwachstellen

Neben der oben genannten Sicherheitslücke wurden noch vier weitere Schwachstellen gefunden. CVE-2016-3718 ermöglicht HTTP-GET– oder FTP-Requests, CVE-2016-3715 sorgt dafür, dass Dateien nach dem Lesen gelöscht werden. Außerdem ermöglicht CVE-2016-3716 Angreifern es, Bilddateien beliebig zu verschieben, während CVE-2016-3117 das Abrufen von Dateicontent vom Server ermöglicht.

Mehr Informationen zu allen Schwachstellen bietet die oben bereits angesprochene Website; hier finden sich auch noch mal Tipps, wie User des Packages sich jetzt verhalten sollten.

Aufmacherbild: Fire alarm on the wall von Shutterstock / Urheberrecht: palmzads