「ImageMagick」に深刻な脆弱性「ImageTragick」 - すでに攻撃も

画像処理に用いられるオープンソースソフト「ImageMagick」に深刻な脆弱性「ImageTragick」など、複数の脆弱性が確認された。同ライブラリを利用する製品も多く、すでに攻撃が行われており、開発チームやセキュリティ機関が注意を呼びかけている。

「ImageTragick」のロゴ

画像処理で利用するデコーダーに複数の脆弱性が含まれていることが明らかになったもの。バグ発見プログラムに参加する露Mail.Ruのセキュリティチームが、複数の研究者より報告を受けた。

問題の脆弱性は、外部ライブラリを用いる機能において、入力値をチェックしておらず、コマンドの実行が可能となる脆弱性「CVE-2016-3714」。遠隔より攻撃を受けるおそれがあり、すでに攻撃が確認されている。

脆弱性について広く認知を得るためとし、「ImageTragick」との別名がつけられたほか、専用サイトやTwitterアカウントが立ち上げられている。また何者かが冗談で作成したロゴを設定したという。

さらにHTTPの「GETリクエスト」や「FTPリクエスト」を偽装できる「サーバサイドリクエストフォージェリ（SSRF）」の脆弱性「CVE-2016-3718」が含まれるほか、ファイル削除が可能となる「CVE-2016-3715」や、ファイルを移動される「CVE-2016-3716」、ローカルファイルが漏洩するおそれがある「CVE-2016-3717」なども判明している。

開発チームは、4月30日に脆弱性へ対処する「同6.9.3-9」をリリースしたが、修正が不完全だったという。現在は最新版となる「同7.0.1-1」「同6.9.3-10」を公開。攻撃を防ぐための緩和策についてもアナウンスし、注意を呼びかけている。

（Security NEXT - 2016/05/06 ） ツイート

PR

関連記事

「Tenable Identity Exposure」に脆弱性 - 2月の更新で修正済み
Acronisのデータバックアップ用インフラ製品に深刻な脆弱性 - すでに悪用も
組込システムの検証テストツール「NI VeriStand」に複数脆弱性
SonicWall、「Blast-RADIUS」の緩和策でアドバイザリ
「Spring Cloud Data Flow」に深刻な脆弱性 - アップデートが公開
「BIND 9」の脆弱性、関連機関がアップデートを強く推奨
「Telerik Report Server」に深刻な脆弱性 - 最新版へ更新を
「VMware ESXi」「vCenter Server」に脆弱性 - 修正パッチが公開
Oktaのウェブブラウザ向けプラグインにXSS脆弱性
「GitLab」にセキュリティアップデート - 脆弱性6件を修正