JPCERT コーディネーションセンター

ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起

各位

JPCERT-AT-2016-0021
JPCERT/CC
2016-05-06(新規)
2016-05-09(更新)

JPCERT/CC Alert 2016-05-06


ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起

https://www.jpcert.or.jp/at/2016/at160021.html


I. 概要

ImageMagick Studio LLC の ImageMagick には、脆弱性 (CVE-2016-3714)があります。脆弱性を悪用するコンテンツを ImageMagick で開いた場合に、任意の OS コマンドが実行される恐れがあります。
脆弱性の詳細は、ImageMagick Studio LLC の情報を確認してください。

ImageMagick Security Issue
http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588

本脆弱性の実証コードがすでに公開されており、JPCERT/CC にて検証した結果、ImageMagick を実行しているユーザの権限で任意の OS コマンドが実行されることを確認しています。

ImageMagick Studio LLC からは、本脆弱性に対する修正済みのソフトウエアが提供されています。影響するバージョンのソフトウエアを利用している利用者は、早期に対策を行うことを強く推奨します。なお、ImageMagick を内部的に利用する Web アプリケーションを使用している場合には、本脆弱性の影響を受ける可能性がありますので、本ソフトウエアのアップデートなどの対策を行うことをお勧めいたします。


II. 対象

対象となるソフトウエアとバージョンは以下の通りです。

ImageMagick
- 6 系列 6.9.3-9 およびそれ以前
- 7 系列 7.0.1-0 およびそれ以前

JPCERT/CC にて実証コードを検証した結果、上記のバージョンにて実証コードが動作し、任意の OS コマンドが実行可能なことを確認しています。

ディストリビュータが提供している ImageMagick をお使いの場合は、ディストリビュータなどの情報も参照してください。


III. 対策

ImageMagick を以下の最新のバージョンに更新してください。

ImageMagick
- 6 系列 6.9.3-10
- 7 系列 7.0.1-1

JPCERT/CC にて実証コードを検証した結果、上記のバージョンにて本脆弱性 (CVE-2016-3714) に対する実証コードが動作しないことを確認しています。

本脆弱性 (CVE-2016-3714) と併せて指摘されている脆弱性 (CVE-2016-3715,CVE-2016-3716, CVE-2016-3717, CVE-2016-3718) については、ソフトウエアのアップデート以外に、ImageMagick の設定ファイル (policy.xml) の設定により、対策を行う必要があります。詳細は、「IV. 回避策」を参照してください。

** 更新: 2016年05月09日追記 ****************
2016年5月5日、6日(現地時間)、ImageMagick Studio LLC は、最新のバージョンの ImageMagick を公開しました。なお、ImageMagick Studio LLC は、脆弱性への対策を含むバージョンであると説明しています。
詳細は、ImageMagick Studio LLC の情報を参照してください。

ImageMagick Studio LLC
ImageMagick Security Issue
http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588

ImageMagick を以下の最新バージョンに更新することをご検討ください。

ImageMagick
- 6 系列 6.9.4-0
- 7 系列 7.0.1-2
**************************************************


IV. 回避策

アップデートが困難な場合など、脆弱性の影響を受けないように、処理の制限などの設定を行ってください。なお、回避策の適用にあたっては、十分に影響範囲を考慮の上、実施してください。

- ImageMagick の設定ファイル (policy.xml) の設定を変更し、処理を制限をする
設定内容の詳細は、ImageMagick Studio LLC およびディストリビュータの
提供する情報を参照してください。設定ファイル (policy.xml) が存在し
ない場合には、MVG 等の処理を行う機能を無効にしてください。

ImageMagick Studio LLC
ImageMagick Security Issue
http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588

RedHat,Inc
ImageMagick Filtering Vulnerability - CVE-2016-3714
https://access.redhat.com/security/vulnerabilities/2296071


V. 参考情報

ImageMagick Studio LLC
ImageMagick: Changelog
https://imagemagick.org/script/changelog.php

ImageMagick Studio LLC
ImageMagick/ChangeLog at ImageMagick/ChangeLog at ImageMagick-6
https://github.com/ImageMagick/ImageMagick/blob/ImageMagick-6/ChangeLog

US-CERT Current Activity
ImageMagick Vulnerability
https://www.us-cert.gov/ncas/current-activity/2016/05/04/ImageMagick-Vulnerability

Vulnerability Note VU#250519
ImageMagick does not properly validate input before processing images using a delegate
https://www.kb.cert.org/vuls/id/250519

SANS Internet Storm Center
ImageTragick: Another Vulnerability, Another Nickname
https://isc.sans.edu/forums/diary/ImageTragick+Another+Vulnerability+Another+Nickname/21023/

** 更新: 2016年05月09日追記 ****************
JVNVU#92998929
ImageMagick に入力値検証不備の脆弱性
https://jvn.jp/vu/JVNVU92998929/
**************************************************

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

________
改訂履歴
2016-05-06 初版
2016-05-09 「III. 対策」の修正、「V. 参考情報」の追記

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter