画像処理ツール「ImageMagick」に脆弱性、広い範囲に影響の恐れ
PHP、Ruby、NodeJS、Pythonなど多数のプログラミング言語にも使われているImageMagicに脆弱性が見つかった。
PHP、Ruby、NodeJS、Pythonなどの主要プログラミング言語でも使われている画像処理ツール「ImageMagick」に深刻な脆弱性が見つかった。影響が広範に及ぶことや、脆弱性を突く攻撃の発生が伝えられていることなどから、米セキュリティ機関US-CERTなどはパッチの適用を急ぐよう呼び掛けている。
この問題は通称「ImageTragick」とも呼ばれている。解説サイトやセキュリティ機関のCERT/CCによると、ユーザーの入力内容がImageMagickで適切に検証されないまま処理されてしまうことが原因で、ユーザーがアップロードした画像を使って攻撃コードを実行される恐れがある。
この脆弱性はRed Hat、SUSE Linux、Ubuntuなど主要Linuxディストリビューションで影響が確認されているほか、PHPの「imagick」、Rubyの「rmagick」「paperclip」、NodeJSの「imagemagick」など、ImageMagickを使ったライブラリ多数が影響を受けるという。
悪用は比較的簡単とされ、セキュリティ研究者などはこの脆弱性の存在が発見者以外にも知られていると判断して、パッチ公開を前に概略の公表に踏み切っていた。
ImageMagickチームも脆弱性の存在を確認し、5月3日にセキュリティ情報を公開。「ImageMagick 7.0.1-1」および「6.9.3-10」を公開して問題を修正した。悪用を防ぐための対策についても説明している。
関連記事
- SolarisのImageMagickユーティリティに脆弱性
Solaris 9とSolaris 10のImageMagickに脆弱性が見つかり、修正アップデートが公開された。 - NTPに複数の脆弱性、更新版で修正
悪用された場合、サービス妨害(DoS)攻撃を仕掛けられたり認証をかわされたり、設定を変更されたりする恐れがある。 - (更新)Apache Strutsに危険度「高」の脆弱性、攻撃実証コードも公開
悪用された場合に任意のコードを実行される恐れがある。 - 「Badlock」の脆弱性修正パッチ、SambaとMicrosoftが公開
悪用された場合、中間者攻撃やサービス妨害(DoS)攻撃攻撃を仕掛けられる恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.