「ImageMagick」に深刻な脆弱性「ImageTragick」 - すでに攻撃も

画像処理に用いられるオープンソースソフト「ImageMagick」に深刻な脆弱性「ImageTragick」など、複数の脆弱性が確認された。同ライブラリを利用する製品も多く、すでに攻撃が行われており、開発チームやセキュリティ機関が注意を呼びかけている。

「ImageTragick」のロゴ

画像処理で利用するデコーダーに複数の脆弱性が含まれていることが明らかになったもの。バグ発見プログラムに参加する露Mail.Ruのセキュリティチームが、複数の研究者より報告を受けた。

問題の脆弱性は、外部ライブラリを用いる機能において、入力値をチェックしておらず、コマンドの実行が可能となる脆弱性「CVE-2016-3714」。遠隔より攻撃を受けるおそれがあり、すでに攻撃が確認されている。

脆弱性について広く認知を得るためとし、「ImageTragick」との別名がつけられたほか、専用サイトやTwitterアカウントが立ち上げられている。また何者かが冗談で作成したロゴを設定したという。

さらにHTTPの「GETリクエスト」や「FTPリクエスト」を偽装できる「サーバサイドリクエストフォージェリ（SSRF）」の脆弱性「CVE-2016-3718」が含まれるほか、ファイル削除が可能となる「CVE-2016-3715」や、ファイルを移動される「CVE-2016-3716」、ローカルファイルが漏洩するおそれがある「CVE-2016-3717」なども判明している。

開発チームは、4月30日に脆弱性へ対処する「同6.9.3-9」をリリースしたが、修正が不完全だったという。現在は最新版となる「同7.0.1-1」「同6.9.3-10」を公開。攻撃を防ぐための緩和策についてもアナウンスし、注意を呼びかけている。

（Security NEXT - 2016/05/06 ） ツイート

PR

関連記事

米当局、悪用カタログに既知脆弱性5件を登録 - AppleやRockwellなど
「iPhone」狙う強力な攻撃キット「Coruna」 - 多数脆弱性を悪用、CVE未採番も
JetBrainsの複数製品に脆弱性 - 「Hub」ではクリティカルも
「VMware Aria Operations」の脆弱性など悪用に注意喚起 - 米当局
「EC-CUBE」に多要素認証を回避される脆弱性 - 修正パッチを公開
自然言語処理ライブラリ「NLTK」に深刻なRCE脆弱性
メッセージブローカー「Apache ActiveMQ Artemis」に深刻な脆弱性
「Cisco Secure Firewall」に脆弱性 - 認証回避やRCEなど深刻な影響も
キヤノン複合機向けスキャンソフトに脆弱性 - アップデートを公開
「Chrome」にアップデート - 「クリティカル」含む脆弱性10件修正