-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2016-0021 JPCERT/CC 2016-05-06(新規) 2016-05-09(更新) <<< JPCERT/CC Alert 2016-05-06 >>> ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160021.html I. 概要 ImageMagick Studio LLC の ImageMagick には、脆弱性 (CVE-2016-3714) があります。脆弱性を悪用するコンテンツを ImageMagick で開いた場合に、 任意の OS コマンドが実行される恐れがあります。 脆弱性の詳細は、ImageMagick Studio LLC の情報を確認してください。 ImageMagick Security Issue http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588 本脆弱性の実証コードがすでに公開されており、JPCERT/CC にて検証した結 果、ImageMagick を実行しているユーザの権限で任意の OS コマンドが実行さ れることを確認しています。 ImageMagick Studio LLC からは、本脆弱性に対する修正済みのソフトウエア が提供されています。影響するバージョンのソフトウエアを利用している利用 者は、早期に対策を行うことを強く推奨します。なお、ImageMagick を内部的 に利用する Web アプリケーションを使用している場合には、本脆弱性の影響を 受ける可能性がありますので、本ソフトウエアのアップデートなどの対策を行 うことをお勧めいたします。 II. 対象 対象となるソフトウエアとバージョンは以下の通りです。 ImageMagick - 6 系列 6.9.3-9 およびそれ以前 - 7 系列 7.0.1-0 およびそれ以前 JPCERT/CC にて実証コードを検証した結果、上記のバージョンにて実証コード が動作し、任意の OS コマンドが実行可能なことを確認しています。 ディストリビュータが提供している ImageMagick をお使いの場合は、ディス トリビュータなどの情報も参照してください。 III. 対策 ImageMagick を以下の最新のバージョンに更新してください。 ImageMagick - 6 系列 6.9.3-10 - 7 系列 7.0.1-1 JPCERT/CC にて実証コードを検証した結果、上記のバージョンにて本脆弱 性 (CVE-2016-3714) に対する実証コードが動作しないことを確認しています。 本脆弱性 (CVE-2016-3714) と併せて指摘されている脆弱性 (CVE-2016-3715, CVE-2016-3716, CVE-2016-3717, CVE-2016-3718) については、ソフトウエアの アップデート以外に、ImageMagick の設定ファイル (policy.xml) の設定により、 対策を行う必要があります。詳細は、「IV. 回避策」を参照してください。 ** 更新: 2016年05月09日追記 ***************************************** 2016年5月5日、6日(現地時間)、ImageMagick Studio LLC は、最新のバージョン の ImageMagick を公開しました。なお、ImageMagick Studio LLC は、脆弱性 への対策を含むバージョンであると説明しています。 詳細は、ImageMagick Studio LLC の情報を参照してください。 ImageMagick Studio LLC ImageMagick Security Issue http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588 ImageMagick を以下の最新バージョンに更新することをご検討ください。 ImageMagick - 6 系列 6.9.4-0 - 7 系列 7.0.1-2 ********************************************************************* IV. 回避策 アップデートが困難な場合など、脆弱性の影響を受けないように、処理の制限 などの設定を行ってください。なお、回避策の適用にあたっては、十分に影響範 囲を考慮の上、実施してください。 - ImageMagick の設定ファイル (policy.xml) の設定を変更し、処理を制限をする 設定内容の詳細は、ImageMagick Studio LLC およびディストリビュータの 提供する情報を参照してください。設定ファイル (policy.xml) が存在し ない場合には、MVG 等の処理を行う機能を無効にしてください。 ImageMagick Studio LLC ImageMagick Security Issue http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588 RedHat,Inc ImageMagick Filtering Vulnerability - CVE-2016-3714 https://access.redhat.com/security/vulnerabilities/2296071 V. 参考情報 ImageMagick Studio LLC ImageMagick: Changelog https://imagemagick.org/script/changelog.php ImageMagick Studio LLC ImageMagick/ChangeLog at ImageMagick/ChangeLog at ImageMagick-6 https://github.com/ImageMagick/ImageMagick/blob/ImageMagick-6/ChangeLog US-CERT Current Activity ImageMagick Vulnerability https://www.us-cert.gov/ncas/current-activity/2016/05/04/ImageMagick-Vulnerability Vulnerability Note VU#250519 ImageMagick does not properly validate input before processing images using a delegate https://www.kb.cert.org/vuls/id/250519 SANS Internet Storm Center ImageTragick: Another Vulnerability, Another Nickname https://isc.sans.edu/forums/diary/ImageTragick+Another+Vulnerability+Another+Nickname/21023/ ** 更新: 2016年05月09日追記 ***************************************** JVNVU#92998929 ImageMagick に入力値検証不備の脆弱性 https://jvn.jp/vu/JVNVU92998929/ ********************************************************************* 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ________ 改訂履歴 2016-05-06 初版 2016-05-09 「III. 対策」の修正、「V. 参考情報」の追記 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJXMCQLAAoJEDF9l6Rp7OBInRIH+QHwTbZpO96Gf7VwbAWJOX17 PzYWrYr/hK/yHYv+virfPjvHQUkaDEFtdDVdyE9j4BsZ2Now1E7tHHDaKbwgcv6v VrOLPYbX8KObC9HK2iHTADluFs8zQ19P7O9/lr//PBbIGoKzKULEN5nd2mJTwamc jok1npmio5Oq10kYuPcI+LmlxyRYLgCHsNjIwi0fM7Z94uuwp5Y38MNExCcAisyE rK39f+cmxHL+uTkq+dRdDdzf7CQZ2OFII2MeQRVZaQhDjuSnvflx7S3F+cclOEYQ 0Y5ZlR7srqKiV2BnMSqq/O7m06xBAXp2+11LANnlBppZq90l4zRAohzkxN07Q2o= =WuVt -----END PGP SIGNATURE-----