A fost descoperită o vulnerabilitate critică a ImageMagick

26

ImageMagick este un pachet software gratuit şi open-source utilizat de dezvoltatorii de aplicaţii web pentru afişarea, conversia şi prelucrarea imaginilor. Recent, au fost descoperite multiple vulnerabilităţi adresate ImageMagick de către specialiştii în securitate cibernetică de la HackerOne şi Mail.ru.

 

Descriere

Denumită CVE-2016–3714 sau ImageTragick, această vulnerabilitate este cea mai gravă din seria descoperită deoarece poate permite execuţia de cod maliţios de la distanţă prin upload-ul de fişiere corupte.

 

Conform celor care au descoperit această vulnerabilitate, faptul că ImageMagick permite utilizarea librăriilor de funcţii externe în prelucrarea fişierelor şi filtrarea insuficientă a parametrilor din fişierul de configurare (delegates.xml) pot conduce la injectarea unui command shell.

 

Impact

Prin prelucrarea unei imagini corupte cu ImageMagick, un atacator poate ajunge să execute comenzi maliţioase pe sistemul vulnerabil prin exploatarea CVE-2016–3714. Exploit-ul corespunzător este deja disponibil publicului larg, iar conform site-ului dedicat acestei vulnerabilităţi, ImageTragick este deja exploatată de către utilitzatorii maliţioşi din Internet.

 

Remediu

Actualizarea software-ului

Versiunile ImageMagick 6.9.3-10 şi 7.0.1-1 au fost fost puse la dispoziţie utilizatorilor pentru remedierea acestei vulnerabilităţi. CERT-RO recomandă utilizatorilor afectaţi să actualizeze pachetul de programe ImageMagick la cea mai recentă versiune.

 

Verificarea fişierelor şi dezactivarea filtrelor vulnerabile

Alte măsuri de remediere care pot fi luate în calcul sunt:

  1. Implementarea unui proces de verificare a octeţilor “magic” din fişierele imagine care urmează a fi preocesate în ImageMagick, pentru compararea acestora cu tipurile de fişiere suportate de aplicaţie.
  2. Utilizarea unui fişier de politici pentru dezactivarea filtrelor vulnerabile din ImageMagick.

 

Πηγή: imagetragick