Deutsch | English

Kritische Sicherheitslücke in ImageMagick

04. Mai 2016

Wie gestern bekannt wurde gibt es mehrere Probleme in mehreren Versionen von ImageMagick. Die kritischste Schwachstelle ermöglicht potentiell das Ausführen von Code.

Ob der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

In der ImageMagick-Funktion, welche für das Konvertieren bestimmter Dateiformate (darunter mvg und svg, welche das Einbetten externer Ressourcen erlauben) verantwortlich ist, gibt es einen Fehler in der Input-Filterung, der mittels speziell konstruierter Dateien zur Ausführung von Code missbraucht werden kann.

Eintrag in der CVE-Datenbank: CVE-2016-3714.

Auswirkungen

Aufgrund der weiten Verbreitung von ImageMagick, sowohl clientseitig (z.B. via LibreOffice, Calibre oder Inkscape) als auch serverseitig (z.B. via Drupal, Mediawiki oder vBulletin), sind die potentiellen Angriffsvektoren zahlreich und vielseitig.

Grundsätzlich ist damit jede Software betroffen, die aus externen Quellen (z.B. Webseiten oder Benutzereingabe) übergebene Bilder via ImageMagick verarbeitet.

Nach erfolgreichem Ausnützen der Schwachstelle kann ein Angreifer beliebigen Code mit den Rechten des Benutzers, unter dessen Account die betroffene Software läuft, ausführen. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Datenbank-Anbindungen, Fileshares etc.) Daten und Systeme gefährdet.

Da die Lücke nun öffentlich bekannt ist und der entsprechende Exploit-Code inzwischen ebenfalls öffentlich verfügbar ist, ist auch anzunehmen, dass sich diverse Akteure nun darauf konzentrieren werden, und entsprechend ist bald mit grossflächigen Kampagnen, die diese Schwachstelle auszunutzen versuchen, zu rechnen.

Betroffene Systeme

Laut einem Eintrag auf OSS-Security sind alle Varianten der 'Branches' 6 und 7 betroffen:
Ubuntu 14.04 and OS X, latest system packages (ImageMagick 6.9.3-7 Q16 x86_64 2016-04-27 and ImageMagick 6.8.6-10 2016-04-29 Q16) and latest sources from 6 and 7 branches all are vulnerable.
Es ist aber nicht auszuschliessen, dass noch weitere Versionen verwundbar sind.

Abhilfe

Die aktuell bereitgestellten Patches lösen das Problem nicht, fuer den Moment sind folgende Möglichkeiten verfügbar, die Auswirkungen der Schwachstelle zu mitigieren:
  • Prüfen aller an ImageMagick übergebener Bilddateien auf die entsprechenden "magic bytes", eine Liste dieser ist auf Wikipedia verfügbar
  • Verwenden einer sogenannten Policy-Datei, um die verwundbaren ImageMagick coder zu deaktivieren.
Die globale Policy-Datei findet sich im Normalfall unter /etc/ImageMagick/policy.xml; mit der folgenden Konfiguration kann ein Ausnutzen der Schwachstelle verhindert werden:
<policymap>
  <policy domain="coder" rights="none" pattern="EPHEMERAL" />
  <policy domain="coder" rights="none" pattern="URL" />
  <policy domain="coder" rights="none" pattern="HTTPS" />
  <policy domain="coder" rights="none" pattern="MVG" />
  <policy domain="coder" rights="none" pattern="MSL" />
</policymap>

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Mail auf OSS-Security (englisch)
http://www.openwall.com/lists/oss-security/2016/05/03/18
CVE-Eintrag auf mitre.org (englisch)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547
Eintrag auf Wikipedia (englisch)
https://en.wikipedia.org/wiki/List_of_file_signatures
Eintrag auf imagemagick.org (englisch)
https://www.imagemagick.org/script/resources.php
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Flash Player/Libraries - Patches nun auch für Microsoft Browser verfügbar
22. Februar 2017 | Beschreibung Adobe ...
Update: Kritische Lücke in Microsoft Windows ermöglicht DoS / Remote Code Execution via SMB - Updates nun verfügbar
3. Februar 2017 | ...
mehr ...
Workaround? Abdrehen!
21. März 2017 | Langsam ...
Propaganda auf Twitter
15. März 2017 | Der echte ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2016/5/4 - 09:22:44
Haftungsausschluss