ImageMagickの脆弱性に関する注意喚起

ImageMagick

5月6日、ImageMagick Studio LLC社より「ImageMagickの脆弱性 (CVE-2016-3714)に関する注意喚起」が公開されました。脆弱性情報と対応に関して下記の通りご紹介いたします。

更新:05月09日追記

2016年5月5日、6日(現地時間)、ImageMagick Studio LLCは、最新のバージョンの ImageMagick を公開しました。なお、ImageMagick Studio LLC は、脆弱性への対策を含むバージョンであると説明しています。
詳細は、ImageMagick Studio LLCの情報を参照してください。

ImageMagick Studio LLC
ImageMagick Security Issue
http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588

ImageMagick を以下の最新バージョンに更新することをご検討ください。
ImageMagick
6系列6.9.4-0
7系列7.0.1-2

概要

ImageMagick Studio LLCのImageMagickには、脆弱性(CVE-2016-3714)があります。脆弱性を悪用するコンテンツをImageMagickで開いた場合に、任意のOSコマンドが実行される恐れがあります。
脆弱性の詳細は、ImageMagick Studio LLCの情報を確認してください。

ImageMagick Security Issue

本脆弱性の実証コードがすでに公開されており、JPCERT/CCにて検証した結果、ImageMagickを実行しているユーザの権限で任意の OS コマンドが実行されることを確認しています。

ImageMagick Studio LLCからは、本脆弱性に対する修正済みのソフトウエアが提供されています。影響するバージョンのソフトウエアを利用している利用者は、早期に対策を行うことを強く推奨します。なお、ImageMagickを内部的に利用するWebアプリケーションを使用している場合には、本脆弱性の影響を受ける可能性がありますので、本ソフトウエアのアップデートなどの対策を行うことをお勧めいたします。

対象

対象となるソフトウエアとバージョンは以下の通りです。

ImageMagick

  • 6 系列 6.9.3-9およびそれ以前
  • 7 系列 7.0.1-0およびそれ以前

JPCERT/CCにて実証コードを検証した結果、上記のバージョンにて実証コードが動作し、任意のOSコマンドが実行可能なことを確認しています。

ディストリビュータが提供しているImageMagickをお使いの場合は、ディストリビュータなどの情報も参照してください。

対策

ImageMagick を以下の最新のバージョンに更新してください。

ImageMagick

  • 6 系列 6.9.3-10
  • 7 系列 7.0.1-1

JPCERT/CC にて実証コードを検証した結果、上記のバージョンにて本脆弱性(CVE-2016-3714)に対する実証コードが動作しないことを確認しています。

本脆弱性(CVE-2016-3714)と併せて指摘されている脆弱性(CVE-2016-3715,CVE-2016-3716, CVE-2016-3717, CVE-2016-3718)については、ソフトウエアのアップデート以外に、ImageMagickの設定ファイル(policy.xml)の設定により、対策を行う必要があります。詳細は、「IV. 回避策」を参照してください。

回避策

アップデートが困難な場合など、脆弱性の影響を受けないように、処理の制限などの設定を行ってください。なお、回避策の適用にあたっては、十分に影響範囲を考慮の上、実施してください。

ImageMagickの設定ファイル(policy.xml)の設定を変更し、処理を制限をする設定内容の詳細は、ImageMagick Studio LLCおよびディストリビュータの提供する情報を参照してください。設定ファイル (policy.xml) が存在しない場合には、MVG等の処理を行う機能を無効にしてください。

ImageMagick Studio LLC
ImageMagick Security Issue
http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588

RedHat,Inc
ImageMagick Filtering Vulnerability - CVE-2016-3714
https://access.redhat.com/security/vulnerabilities/2296071

備考

最終更新日

2016.05.12

公開日

2016.04.28

お電話でのご相談・お問い合わせはこちら

お電話でのご相談・お問い合わせはこちら 03-6743-1100 価格や仕様、サービスの詳細などのお問合せから、クラウド導入についてのわからないことなどまで。

価格・仕様などサービス詳細のお問い合わせや、クラウド導入の分からないことなど、お気軽にご連絡ください。

フォームでのお問い合わせ(無料)