「ImageMagick」に深刻な脆弱性「ImageTragick」 - すでに攻撃も

画像処理に用いられるオープンソースソフト「ImageMagick」に深刻な脆弱性「ImageTragick」など、複数の脆弱性が確認された。同ライブラリを利用する製品も多く、すでに攻撃が行われており、開発チームやセキュリティ機関が注意を呼びかけている。

「ImageTragick」のロゴ

画像処理で利用するデコーダーに複数の脆弱性が含まれていることが明らかになったもの。バグ発見プログラムに参加する露Mail.Ruのセキュリティチームが、複数の研究者より報告を受けた。

問題の脆弱性は、外部ライブラリを用いる機能において、入力値をチェックしておらず、コマンドの実行が可能となる脆弱性「CVE-2016-3714」。遠隔より攻撃を受けるおそれがあり、すでに攻撃が確認されている。

脆弱性について広く認知を得るためとし、「ImageTragick」との別名がつけられたほか、専用サイトやTwitterアカウントが立ち上げられている。また何者かが冗談で作成したロゴを設定したという。

さらにHTTPの「GETリクエスト」や「FTPリクエスト」を偽装できる「サーバサイドリクエストフォージェリ（SSRF）」の脆弱性「CVE-2016-3718」が含まれるほか、ファイル削除が可能となる「CVE-2016-3715」や、ファイルを移動される「CVE-2016-3716」、ローカルファイルが漏洩するおそれがある「CVE-2016-3717」なども判明している。

開発チームは、4月30日に脆弱性へ対処する「同6.9.3-9」をリリースしたが、修正が不完全だったという。現在は最新版となる「同7.0.1-1」「同6.9.3-10」を公開。攻撃を防ぐための緩和策についてもアナウンスし、注意を呼びかけている。

（Security NEXT - 2016/05/06 ） ツイート

PR

関連記事

WordPress向けプラグイン「InstaWP Connect」に脆弱性
Windows環境下の複数開発言語に脆弱性「BatBadBut」が判明
「Microsoft Edge」にアップデート - 「Chromium」の脆弱性修正を反映
「PHP」に複数の脆弱性 - セキュリティアップデートで修正
「GitLab」にセキュリティアップデート - 脆弱性4件を解消
「PAN-OS」のアップデートが公開 - 旧版にも順次提供予定
「XenServer」「Citrix Hypervisor」に脆弱性 - 情報流出やDoS攻撃のおそれ
「PAN-OS」に対するゼロデイ攻撃、国内被害は未確認
「PAN-OS」を狙う「Operation MidnightEclipse」 - 3月下旬より展開
Palo Alto Networksの「PAN-OS」にゼロデイ脆弱性 - パッチを準備中