[Warning] Kritische Sicherheitslücke in ImageMagick

Alexander Riepl riepl at cert.at
Wed May 4 09:32:44 CEST 2016 

                   Kritische Sicherheitslücke in ImageMagick

   04. Mai 2016

   Wie gestern bekannt wurde gibt es mehrere Probleme in mehreren
   Versionen von ImageMagick. Die kritischste Schwachstelle ermöglicht
   potentiell das Ausführen von Code.

   Ob der Dringlichkeit und des Umfangs des Problems bittet CERT.at um
   Beachtung der folgenden Hinweise.

Beschreibung

   In der ImageMagick-Funktion, welche für das Konvertieren bestimmter
   Dateiformate (darunter mvg und svg, welche das Einbetten externer
   Ressourcen erlauben) verantwortlich ist, gibt es einen Fehler in der
   Input-Filterung, der mittels speziell konstruierter Dateien zur
   Ausführung von Code missbraucht werden kann.

   Eintrag in der CVE-Datenbank: CVE-2016-3714.

Auswirkungen

   Aufgrund der weiten Verbreitung von ImageMagick, sowohl clientseitig
   (z.B. via LibreOffice, Calibre oder Inkscape) als auch serverseitig
   (z.B. via Drupal, Mediawiki oder vBulletin), sind die potentiellen
   Angriffsvektoren zahlreich und vielseitig.

   Grundsätzlich ist damit jede Software betroffen, die aus externen
   Quellen (z.B. Webseiten oder Benutzereingabe) übergebene Bilder via
   ImageMagick verarbeitet.

   Nach erfolgreichem Ausnützen der Schwachstelle kann ein Angreifer
   beliebigen Code mit den Rechten des Benutzers, unter dessen Account die
   betroffene Software läuft, ausführen. Damit sind alle Daten auf diesen
   Systemen, sowie alle durch diese erreichbaren (etwa durch
   Datenbank-Anbindungen, Fileshares etc.) Daten und Systeme gefährdet.

   Da die Lücke nun öffentlich bekannt ist und der entsprechende
   Exploit-Code inzwischen ebenfalls öffentlich verfügbar ist, ist auch
   anzunehmen, dass sich diverse Akteure nun darauf konzentrieren werden,
   und entsprechend ist bald mit grossflächigen Kampagnen, die diese
   Schwachstelle auszunutzen versuchen, zu rechnen.

Betroffene Systeme

   Laut einem Eintrag auf OSS-Security sind alle Varianten der
   'Branches' 6 und 7 betroffen:

     Ubuntu 14.04 and OS X, latest system packages (ImageMagick 6.9.3-7
     Q16 x86_64 2016-04-27 and ImageMagick 6.8.6-10 2016-04-29 Q16) and
     latest sources from 6 and 7 branches all are vulnerable.

   Es ist aber nicht auszuschliessen, dass noch weitere Versionen
   verwundbar sind.

Abhilfe

   Die aktuell bereitgestellten Patches lösen das Problem nicht, fuer den
   Moment sind folgende Möglichkeiten verfügbar, die Auswirkungen der
   Schwachstelle zu mitigieren:
     * Prüfen aller an ImageMagick übergebener Bilddateien auf die
       entsprechenden "magic bytes", eine Liste dieser ist auf
       Wikipedia verfügbar
     * Verwenden einer sogenannten Policy-Datei, um die verwundbaren
       ImageMagick coder zu deaktivieren.

   Die globale Policy-Datei findet sich im Normalfall unter
   /etc/ImageMagick/policy.xml; mit der folgenden Konfiguration kann ein
   Ausnutzen der Schwachstelle verhindert werden:
<policymap>
  <policy domain="coder" rights="none" pattern="EPHEMERAL" />
  <policy domain="coder" rights="none" pattern="URL" />
  <policy domain="coder" rights="none" pattern="HTTPS" />
  <policy domain="coder" rights="none" pattern="MVG" />
  <policy domain="coder" rights="none" pattern="MSL" />
</policymap>

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   * Mail auf OSS-Security (englisch)
   http://www.openwall.com/lists/oss-security/2016/05/03/18
   CVE-Eintrag auf mitre.org (englisch)
   * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547
   Eintrag auf Wikipedia (englisch)
   * https://en.wikipedia.org/wiki/List_of_file_signatures
   Eintrag auf imagemagick.org (englisch)
   * https://www.imagemagick.org/script/resources.php

-- 
// Alexander Riepl <riepl at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20160504/17c13aa9/attachment.sig>

More information about the Warning mailing list