ニュース
開発者向け画像処理ツール「ImageMagick」に脆弱性
(2016/5/9 17:36)
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6日、「ImageMagick」の脆弱性(CVE-2016-3714)に関する注意喚起を行った。脆弱性の影響を受けるのは「6.9.3-9」以前、「7.0.1-0」以前の各バージョン。
ImageMagickは、画像形式の相互変換やサイズ変更、カラー調整、合成、テキスト/図形の描画、サムネイル作成などの機能を提供するオープンソースの画像処理ツールセット。コマンドラインで利用できる多数のツールを含んだ主に開発者向けのソフトウェアで、C/C++/COM+/.NET(Windows)/Java/Perl/PHP/Pythonといった言語から呼び出して利用可能。
クロスプラットフォームに対応しており、US-CERTによればArch Linux、CentOS、Debian GNU/Linux、Fedora Project、Gentoo Linux、openSUSE、Redhat Linux、Slackware、SUSE Linux、Turbo Linux、Ubuntuの各ディストリビューションで影響を受ける。また、WindowsやMac OS Xでの利用も可能なため、影響を受ける場合もある。
ImageMagick開発チームによれば、脆弱性にはCVE-2016-3714、CVE-2016-3715、CVE-2016-3716、CVE-2016-3717、CVE-2016-3718の5つがあり、うちCVE-2016-3714について、US-CERTでは、共通脆弱性評価システムCVSS 2.0のスコア9.3とレーティングしている。
CVE-2016-3714の脆弱性は、外部ライブラリを使用してファイルを処理する「delegate」と呼ばれる機能でコマンドに受け渡す前のファイル名のフィルタリングが不十分なため、ファイル形式の変換中などに任意のコードが実行される可能性があるというもの。
例えば、ウェブサーバーにアップロードされた画像ファイルがImageMagickを用いて自動処理されている場合などが想定される。
JPCERT/CCでは、CVE-2016-3714の脆弱性への対策として、5月3日より提供されているバージョン「6.9.3-10」「7.0.1-1」、その後5月6日に提供された最新バージョン「6.9.4-0」「7.0.1-2」へのアップデートを推奨している。また、ImageMagickで処理する画像ファイル先頭の「magic bytes」が適切な値かどうかを確認することでも回避が可能だという。
それ以外のCVE-2016-3715、CVE-2016-3716、CVE-2016-3717、CVE-2016-3718の脆弱性に対しては、設定ファイル「policy.xml」に下記を追記して処理を制限することで影響を無効化できるとのこと。この修正はCVE-2016-3714の脆弱性への対策にもなるため、ディストリビューターから最新バージョンが提供されていない環境などで有効な対策となる。
<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
<policy domain="coder" rights="none" pattern="TEXT" />
<policy domain="coder" rights="none" pattern="SHOW" />
<policy domain="coder" rights="none" pattern="WIN" />
<policy domain="coder" rights="none" pattern="PLT" />
</policymap>
この脆弱性には「Image Tragick」という愛称が付けられ、ウェブサイトやTwitterアカウント、ロゴが公開されている。