「ImageMagick」に深刻な脆弱性「ImageTragick」 - すでに攻撃も

画像処理に用いられるオープンソースソフト「ImageMagick」に深刻な脆弱性「ImageTragick」など、複数の脆弱性が確認された。同ライブラリを利用する製品も多く、すでに攻撃が行われており、開発チームやセキュリティ機関が注意を呼びかけている。

「ImageTragick」のロゴ

画像処理で利用するデコーダーに複数の脆弱性が含まれていることが明らかになったもの。バグ発見プログラムに参加する露Mail.Ruのセキュリティチームが、複数の研究者より報告を受けた。

問題の脆弱性は、外部ライブラリを用いる機能において、入力値をチェックしておらず、コマンドの実行が可能となる脆弱性「CVE-2016-3714」。遠隔より攻撃を受けるおそれがあり、すでに攻撃が確認されている。

脆弱性について広く認知を得るためとし、「ImageTragick」との別名がつけられたほか、専用サイトやTwitterアカウントが立ち上げられている。また何者かが冗談で作成したロゴを設定したという。

さらにHTTPの「GETリクエスト」や「FTPリクエスト」を偽装できる「サーバサイドリクエストフォージェリ（SSRF）」の脆弱性「CVE-2016-3718」が含まれるほか、ファイル削除が可能となる「CVE-2016-3715」や、ファイルを移動される「CVE-2016-3716」、ローカルファイルが漏洩するおそれがある「CVE-2016-3717」なども判明している。

開発チームは、4月30日に脆弱性へ対処する「同6.9.3-9」をリリースしたが、修正が不完全だったという。現在は最新版となる「同7.0.1-1」「同6.9.3-10」を公開。攻撃を防ぐための緩和策についてもアナウンスし、注意を呼びかけている。

（Security NEXT - 2016/05/06 ） ツイート

PR

関連記事

脆弱性「Dirty Frag」が製品に与える影響を調査 - Fortinet
「Cisco Catalyst SD-WAN Manager」にゼロデイ脆弱性 - 悪用も確認
「Progress Kemp LoadMaster」にRCE脆弱性 - WAF回避のおそれも
「MOVEit WAF」に検知回避の深刻な脆弱性 - 早急な対策を
「Chrome」最新版で脆弱性429件を修正 - クリティカルは22件
「OpenStack Mistral」に脆弱性 - API認証ユーザーがコード実行可能
「Chrome 149」がリリース - セキュリティ情報は近日公開
「MLflow」にアクセスキーなど機密情報が流出する深刻な脆弱性
米当局、脆弱性3件を悪用カタログに追加 - 早期対応求める
「Cisco Unified CM」にクリティカル脆弱性 - 実証コードが公開済み