[脆弱性情報]ImageMagickに脆弱性が発見されました(ImageTragick)

この記事は公開されてから半年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、星です。

今回はOpenSSLとImageMagickの二本立てです(二本目)

通称「ImageTragick」と呼ばれるImageMagickの脆弱性情報が公開されました。

本脆弱性を悪用することで、任意のOSコマンドを実行される可能性もあります。

簡単ですが、概要をまとめてみます。

 

・対象

-ImageMagick 6 系列 6.9.3-9 およびそれ以前

-ImageMagick 7 系列 7.0.1-0 およびそれ以前

Amazon Linuix、Redhat , CentOS パッケージ提供のImageMagickも幅広い範囲で対象となっています。

 

・対策

恒久対策として可能な限り修正済みImageMagickへのアップデートを実施しましょう。

OS組み込みのパッケージについては提供元のリリースを確認してください。

 

回避策としてpolicy.xmlで処理を制限することで脆弱性の影響を緩和することが可能です。

ImageMagick Security Issue

 

多くのOSで修正バージョンが提供されているため、可能な限り修正バージョンへのアップデートを実施しましょう。

 

・さいごに

今回は脆弱性情報を二本立てでお送りしました。

脆弱性情報はなぜか大型連休を狙いすましたかのように発表されるのは私の気のせいでしょうか・・・(今回はGW)

 

・参考情報

ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起

JVNVU#92998929 ImageMagick に入力値検証不備の脆弱性

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

Time limit is exhausted. Please reload CAPTCHA.