[Warning] Kritische Sicherheitslücke in ImageMagick
Alexander Riepl
riepl at cert.at
Wed May 4 09:32:44 CEST 2016
Kritische Sicherheitslücke in ImageMagick
04. Mai 2016
Wie gestern bekannt wurde gibt es mehrere Probleme in mehreren
Versionen von ImageMagick. Die kritischste Schwachstelle ermöglicht
potentiell das Ausführen von Code.
Ob der Dringlichkeit und des Umfangs des Problems bittet CERT.at um
Beachtung der folgenden Hinweise.
Beschreibung
In der ImageMagick-Funktion, welche für das Konvertieren bestimmter
Dateiformate (darunter mvg und svg, welche das Einbetten externer
Ressourcen erlauben) verantwortlich ist, gibt es einen Fehler in der
Input-Filterung, der mittels speziell konstruierter Dateien zur
Ausführung von Code missbraucht werden kann.
Eintrag in der CVE-Datenbank: CVE-2016-3714.
Auswirkungen
Aufgrund der weiten Verbreitung von ImageMagick, sowohl clientseitig
(z.B. via LibreOffice, Calibre oder Inkscape) als auch serverseitig
(z.B. via Drupal, Mediawiki oder vBulletin), sind die potentiellen
Angriffsvektoren zahlreich und vielseitig.
Grundsätzlich ist damit jede Software betroffen, die aus externen
Quellen (z.B. Webseiten oder Benutzereingabe) übergebene Bilder via
ImageMagick verarbeitet.
Nach erfolgreichem Ausnützen der Schwachstelle kann ein Angreifer
beliebigen Code mit den Rechten des Benutzers, unter dessen Account die
betroffene Software läuft, ausführen. Damit sind alle Daten auf diesen
Systemen, sowie alle durch diese erreichbaren (etwa durch
Datenbank-Anbindungen, Fileshares etc.) Daten und Systeme gefährdet.
Da die Lücke nun öffentlich bekannt ist und der entsprechende
Exploit-Code inzwischen ebenfalls öffentlich verfügbar ist, ist auch
anzunehmen, dass sich diverse Akteure nun darauf konzentrieren werden,
und entsprechend ist bald mit grossflächigen Kampagnen, die diese
Schwachstelle auszunutzen versuchen, zu rechnen.
Betroffene Systeme
Laut einem Eintrag auf OSS-Security sind alle Varianten der
'Branches' 6 und 7 betroffen:
Ubuntu 14.04 and OS X, latest system packages (ImageMagick 6.9.3-7
Q16 x86_64 2016-04-27 and ImageMagick 6.8.6-10 2016-04-29 Q16) and
latest sources from 6 and 7 branches all are vulnerable.
Es ist aber nicht auszuschliessen, dass noch weitere Versionen
verwundbar sind.
Abhilfe
Die aktuell bereitgestellten Patches lösen das Problem nicht, fuer den
Moment sind folgende Möglichkeiten verfügbar, die Auswirkungen der
Schwachstelle zu mitigieren:
* Prüfen aller an ImageMagick übergebener Bilddateien auf die
entsprechenden "magic bytes", eine Liste dieser ist auf
Wikipedia verfügbar
* Verwenden einer sogenannten Policy-Datei, um die verwundbaren
ImageMagick coder zu deaktivieren.
Die globale Policy-Datei findet sich im Normalfall unter
/etc/ImageMagick/policy.xml; mit der folgenden Konfiguration kann ein
Ausnutzen der Schwachstelle verhindert werden:
<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
</policymap>
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
* Mail auf OSS-Security (englisch)
http://www.openwall.com/lists/oss-security/2016/05/03/18
CVE-Eintrag auf mitre.org (englisch)
* https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547
Eintrag auf Wikipedia (englisch)
* https://en.wikipedia.org/wiki/List_of_file_signatures
Eintrag auf imagemagick.org (englisch)
* https://www.imagemagick.org/script/resources.php
--
// Alexander Riepl <riepl at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20160504/17c13aa9/attachment.sig>
More information about the Warning
mailing list