JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > 注意喚起 > 2016 > ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起

最終更新: 2016-05-09

ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起


各位

                                                   JPCERT-AT-2016-0021
                                                             JPCERT/CC
                                                      2016-05-06(新規)
                                                      2016-05-09(更新)

                  <<< JPCERT/CC Alert 2016-05-06 >>>

         ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起

            https://www.jpcert.or.jp/at/2016/at160021.html


I. 概要

  ImageMagick Studio LLC の ImageMagick には、脆弱性 (CVE-2016-3714)
があります。脆弱性を悪用するコンテンツを ImageMagick で開いた場合に、
任意の OS コマンドが実行される恐れがあります。
  脆弱性の詳細は、ImageMagick Studio LLC の情報を確認してください。

    ImageMagick Security Issue
    http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588

  本脆弱性の実証コードがすでに公開されており、JPCERT/CC にて検証した結
果、ImageMagick を実行しているユーザの権限で任意の OS コマンドが実行さ
れることを確認しています。

  ImageMagick Studio LLC からは、本脆弱性に対する修正済みのソフトウエア
が提供されています。影響するバージョンのソフトウエアを利用している利用
者は、早期に対策を行うことを強く推奨します。なお、ImageMagick を内部的
に利用する Web アプリケーションを使用している場合には、本脆弱性の影響を
受ける可能性がありますので、本ソフトウエアのアップデートなどの対策を行
うことをお勧めいたします。


II. 対象

  対象となるソフトウエアとバージョンは以下の通りです。

  ImageMagick
    - 6 系列 6.9.3-9 およびそれ以前
    - 7 系列 7.0.1-0 およびそれ以前

  JPCERT/CC にて実証コードを検証した結果、上記のバージョンにて実証コード
が動作し、任意の OS コマンドが実行可能なことを確認しています。

  ディストリビュータが提供している ImageMagick をお使いの場合は、ディス
トリビュータなどの情報も参照してください。


III. 対策

  ImageMagick を以下の最新のバージョンに更新してください。

  ImageMagick
    - 6 系列 6.9.3-10
    - 7 系列 7.0.1-1

  JPCERT/CC にて実証コードを検証した結果、上記のバージョンにて本脆弱
性 (CVE-2016-3714) に対する実証コードが動作しないことを確認しています。

  本脆弱性 (CVE-2016-3714) と併せて指摘されている脆弱性 (CVE-2016-3715,
CVE-2016-3716, CVE-2016-3717, CVE-2016-3718) については、ソフトウエアの
アップデート以外に、ImageMagick の設定ファイル (policy.xml) の設定により、
対策を行う必要があります。詳細は、「IV. 回避策」を参照してください。

** 更新: 2016年05月09日追記 *****************************************
  2016年5月5日、6日(現地時間)、ImageMagick Studio LLC は、最新のバージョン
の ImageMagick を公開しました。なお、ImageMagick Studio LLC は、脆弱性
への対策を含むバージョンであると説明しています。
  詳細は、ImageMagick Studio LLC の情報を参照してください。

    ImageMagick Studio LLC
    ImageMagick Security Issue
    http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588

  ImageMagick を以下の最新バージョンに更新することをご検討ください。

  ImageMagick
    - 6 系列 6.9.4-0
    - 7 系列 7.0.1-2
*********************************************************************


IV. 回避策

  アップデートが困難な場合など、脆弱性の影響を受けないように、処理の制限
などの設定を行ってください。なお、回避策の適用にあたっては、十分に影響範
囲を考慮の上、実施してください。

  - ImageMagick の設定ファイル (policy.xml) の設定を変更し、処理を制限をする
    設定内容の詳細は、ImageMagick Studio LLC およびディストリビュータの
    提供する情報を参照してください。設定ファイル (policy.xml) が存在し
    ない場合には、MVG 等の処理を行う機能を無効にしてください。

    ImageMagick Studio LLC
    ImageMagick Security Issue
    http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588

    RedHat,Inc
    ImageMagick Filtering Vulnerability - CVE-2016-3714
    https://access.redhat.com/security/vulnerabilities/2296071


V. 参考情報

    ImageMagick Studio LLC
    ImageMagick: Changelog
    https://imagemagick.org/script/changelog.php

    ImageMagick Studio LLC
    ImageMagick/ChangeLog at ImageMagick/ChangeLog at ImageMagick-6
    https://github.com/ImageMagick/ImageMagick/blob/ImageMagick-6/ChangeLog

    US-CERT Current Activity
    ImageMagick Vulnerability
    https://www.us-cert.gov/ncas/current-activity/2016/05/04/ImageMagick-Vulnerability

    Vulnerability Note VU#250519
    ImageMagick does not properly validate input before processing images using a delegate
    https://www.kb.cert.org/vuls/id/250519

    SANS Internet Storm Center
    ImageTragick: Another Vulnerability, Another Nickname
    https://isc.sans.edu/forums/diary/ImageTragick+Another+Vulnerability+Another+Nickname/21023/

** 更新: 2016年05月09日追記 *****************************************
    JVNVU#92998929
    ImageMagick に入力値検証不備の脆弱性
    https://jvn.jp/vu/JVNVU92998929/
*********************************************************************

  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

________
改訂履歴
2016-05-06 初版
2016-05-09 「III. 対策」の修正、「V. 参考情報」の追記

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

CSIRTマテリアル
STOP!!パスワード使い回し!!キャンペーン2016
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english