画像処理ツール「ImageMagick」に脆弱性、広い範囲に影響の恐れ

PHP、Ruby、NodeJS、Pythonなど多数のプログラミング言語にも使われているImageMagicに脆弱性が見つかった。

» 2016年05月06日 08時04分 公開
[鈴木聖子ITmedia]
脆弱性問題をイメージしたアイコン画像(解説サイトより)

 PHP、Ruby、NodeJS、Pythonなどの主要プログラミング言語でも使われている画像処理ツール「ImageMagick」に深刻な脆弱性が見つかった。影響が広範に及ぶことや、脆弱性を突く攻撃の発生が伝えられていることなどから、米セキュリティ機関US-CERTなどはパッチの適用を急ぐよう呼び掛けている。

 この問題は通称「ImageTragick」とも呼ばれている。解説サイトやセキュリティ機関のCERT/CCによると、ユーザーの入力内容がImageMagickで適切に検証されないまま処理されてしまうことが原因で、ユーザーがアップロードした画像を使って攻撃コードを実行される恐れがある。

 この脆弱性はRed Hat、SUSE Linux、Ubuntuなど主要Linuxディストリビューションで影響が確認されているほか、PHPの「imagick」、Rubyの「rmagick」「paperclip」、NodeJSの「imagemagick」など、ImageMagickを使ったライブラリ多数が影響を受けるという。

主要ベンダーの全てに影響する(CERT/CCより)

 悪用は比較的簡単とされ、セキュリティ研究者などはこの脆弱性の存在が発見者以外にも知られていると判断して、パッチ公開を前に概略の公表に踏み切っていた。

 ImageMagickチームも脆弱性の存在を確認し、5月3日にセキュリティ情報を公開。「ImageMagick 7.0.1-1」および「6.9.3-10」を公開して問題を修正した。悪用を防ぐための対策についても説明している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ