「ImageMagick」に深刻な脆弱性「ImageTragick」 - すでに攻撃も

画像処理に用いられるオープンソースソフト「ImageMagick」に深刻な脆弱性「ImageTragick」など、複数の脆弱性が確認された。同ライブラリを利用する製品も多く、すでに攻撃が行われており、開発チームやセキュリティ機関が注意を呼びかけている。

「ImageTragick」のロゴ

画像処理で利用するデコーダーに複数の脆弱性が含まれていることが明らかになったもの。バグ発見プログラムに参加する露Mail.Ruのセキュリティチームが、複数の研究者より報告を受けた。

問題の脆弱性は、外部ライブラリを用いる機能において、入力値をチェックしておらず、コマンドの実行が可能となる脆弱性「CVE-2016-3714」。遠隔より攻撃を受けるおそれがあり、すでに攻撃が確認されている。

脆弱性について広く認知を得るためとし、「ImageTragick」との別名がつけられたほか、専用サイトやTwitterアカウントが立ち上げられている。また何者かが冗談で作成したロゴを設定したという。

さらにHTTPの「GETリクエスト」や「FTPリクエスト」を偽装できる「サーバサイドリクエストフォージェリ（SSRF）」の脆弱性「CVE-2016-3718」が含まれるほか、ファイル削除が可能となる「CVE-2016-3715」や、ファイルを移動される「CVE-2016-3716」、ローカルファイルが漏洩するおそれがある「CVE-2016-3717」なども判明している。

開発チームは、4月30日に脆弱性へ対処する「同6.9.3-9」をリリースしたが、修正が不完全だったという。現在は最新版となる「同7.0.1-1」「同6.9.3-10」を公開。攻撃を防ぐための緩和策についてもアナウンスし、注意を呼びかけている。

（Security NEXT - 2016/05/06 ） ツイート

PR

関連記事

「VMware vCenter Server」の深刻な脆弱性 - 悪用リスク上昇
「VMware vCenter Server」に深刻な脆弱性 - 「VMware ESXi」の脆弱性も
Windows向け「Zscaler Client Connector」に権限昇格の脆弱性
「Cisco Application Services Engine」などに深刻な脆弱性
「Movable Type」にXSSの脆弱性 - アップデートが公開
「Firefox 86」が公開、Cookie対策強化 - 脆弱性12件を修正
SonicWall、VPN製品向けに追加アップデート - すぐに更新を
CiscoのWindows向けVPNクライアントに脆弱性 - 更新を
「Office for Mac」向けにセキュリティ更新 - 脆弱性2件を修正
「BIND 9」にリモートより悪用可能な脆弱性 - アップデートが公開