Login
Login-Name Passwort


 
Newsletter
Werbung

Fr, 6. Mai 2016, 09:38

Software::Grafik

Gefährliche Sicherheitslücke in ImageMagick

In der weitverbreiteten Bildbearbeitungsbibliothek ImageMagick klaffen mehrere Lücken, wovon sich eine zum Ausführen von Schadcode auf Servern missbrauchen lässt. Die Lücke wird derzeit bereits aktiv ausgenutzt.

ImageMagick

Die Bildbearbeitungsbibliothek ImageMagick, die für GNU/Linux, OS X, OS/2, Windows, Android und iOS verfügbar ist, wird auf vielen Servern zur automatischen Verarbeitung von Bildern eingesetzt. Dies geschieht beispielsweise durch Plugins wie Imagick aus PHP, Rmagick und Paperclip bei Ruby sowie Imagemagick bei Node.js. Durch eine kürzlich entdeckte, mittlerweile »ImageTragick« getaufte Sicherheitslücke ist es Angreifern möglich, Schadcode auf diesen Servern auszuführen. Dazu kann ein Angreifer Shell-Code in bestimmte Bildformate einfügen, die der Server dann hochlädt und vor der Freigabe, etwa in Foren, anpasst. So kann der Angreifer Zugriff auf die betreffenden Server erlangen.

In den nächsten Tagen sollen diese und andere Lücken mit den Versionen 7.0.1-1 und 6.9.3-10 geschlossen werden. Die am 30. April veröffentlichte Version 6.9.3-9 behebt das Problem nicht hinreichend. Bis eine umfängliche Beseitigung der Lücken verfügbar ist, empfehlen Entwickler von ImageMagick zwei Maßnahmen, um sich gegen die Lücke abzusichern.

Als erstes sollen automatisch bei allen hochgeladenen Bildern vor der Bearbeitung die sogenannten Magic Bytes überprüft werden. Dabei handelt es sich um die ersten paar Bytes einer Datei, die oft die Bestimmung des Dateityps erlauben. So beginnen etwa JPEG-Bilder mit den Hex-Bytes »FF D8«, während »47 49 46 38« für ein Gif-Image steht. Besonders anfällig unter den mehr als 200 unterstützten Formaten in ImageMagick sind unter anderem die Formate SVG und MVG, weil sie externe Dateien der unterstützten sogenannten Delegates enthalten dürfen. Bei den Delegates handelt es sich um externe Programme, die per Plugins die Bibliotheken von ImageMagick nutzen können.

Als zweite Abwehrmaßnahme sollte die Richtlinie »policy.xml«, die meist in /etc/ImageMagick zu finden ist, wie im Beispiel angepasst werden. Damit sind die bekannten Angriffsvektoren blockiert. Da die Lücke so einfach auszunutzen ist, haben die Entwickler zur besseren Verbreitung der Nachricht über die Lücke dieser einen Namen und ein Logo zugedacht, wie das seit einiger Zeit für gravierende Sicherheitslücken üblich ist.

Werbung
Kommentare (Insgesamt: 1 || Alle anzeigen || Kommentieren )
GraphicsMagick auch betroffen? (Janka, Mo, 9. Mai 2016)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung