Kritische Sicherheitslücke in ImageMagick
Wie gestern bekannt wurde gibt es mehrere Probleme in mehreren Versionen von ImageMagick. Die kritischste Schwachstelle ermöglicht potentiell das Ausführen von Code.
Ob der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Hinweise.
Beschreibung
In der ImageMagick-Funktion, welche für das Konvertieren bestimmter Dateiformate (darunter mvg und svg, welche das Einbetten externer Ressourcen erlauben) verantwortlich ist, gibt es einen Fehler in der Input-Filterung, der mittels speziell konstruierter Dateien zur Ausführung von Code missbraucht werden kann.Eintrag in der CVE-Datenbank: CVE-2016-3714.
Auswirkungen
Aufgrund der weiten Verbreitung von ImageMagick, sowohl clientseitig (z.B. via LibreOffice, Calibre oder Inkscape) als auch serverseitig (z.B. via Drupal, Mediawiki oder vBulletin), sind die potentiellen Angriffsvektoren zahlreich und vielseitig.Grundsätzlich ist damit jede Software betroffen, die aus externen Quellen (z.B. Webseiten oder Benutzereingabe) übergebene Bilder via ImageMagick verarbeitet.
Nach erfolgreichem Ausnützen der Schwachstelle kann ein Angreifer beliebigen Code mit den Rechten des Benutzers, unter dessen Account die betroffene Software läuft, ausführen. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Datenbank-Anbindungen, Fileshares etc.) Daten und Systeme gefährdet.
Da die Lücke nun öffentlich bekannt ist und der entsprechende Exploit-Code inzwischen ebenfalls öffentlich verfügbar ist, ist auch anzunehmen, dass sich diverse Akteure nun darauf konzentrieren werden, und entsprechend ist bald mit grossflächigen Kampagnen, die diese Schwachstelle auszunutzen versuchen, zu rechnen.
Betroffene Systeme
Laut einem Eintrag auf OSS-Security sind alle Varianten der 'Branches' 6 und 7 betroffen:Ubuntu 14.04 and OS X, latest system packages (ImageMagick 6.9.3-7 Q16 x86_64 2016-04-27 and ImageMagick 6.8.6-10 2016-04-29 Q16) and latest sources from 6 and 7 branches all are vulnerable.Es ist aber nicht auszuschliessen, dass noch weitere Versionen verwundbar sind.
Abhilfe
Die aktuell bereitgestellten Patches lösen das Problem nicht, fuer den Moment sind folgende Möglichkeiten verfügbar, die Auswirkungen der Schwachstelle zu mitigieren:- Prüfen aller an ImageMagick übergebener Bilddateien auf die entsprechenden "magic bytes", eine Liste dieser ist auf Wikipedia verfügbar
- Verwenden einer sogenannten Policy-Datei, um die verwundbaren ImageMagick coder zu deaktivieren.
<policymap> <policy domain="coder" rights="none" pattern="EPHEMERAL" /> <policy domain="coder" rights="none" pattern="URL" /> <policy domain="coder" rights="none" pattern="HTTPS" /> <policy domain="coder" rights="none" pattern="MVG" /> <policy domain="coder" rights="none" pattern="MSL" /> </policymap>
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Mail auf OSS-Security (englisch)
http://www.openwall.com/lists/oss-security/2016/05/03/18
CVE-Eintrag auf mitre.org (englisch)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547
Eintrag auf Wikipedia (englisch)
https://en.wikipedia.org/wiki/List_of_file_signatures
Eintrag auf imagemagick.org (englisch)
https://www.imagemagick.org/script/resources.php