最終更新: 2016-05-06
ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起
各位
JPCERT-AT-2016-0021
JPCERT/CC
2016-05-06
<<< JPCERT/CC Alert 2016-05-06 >>>
ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160021.html
I. 概要
ImageMagick Studio LLC の ImageMagick には、脆弱性 (CVE-2016-3714)
があります。脆弱性を悪用するコンテンツを ImageMagick で開いた場合に、
任意の OS コマンドが実行される恐れがあります。
脆弱性の詳細は、ImageMagick Studio LLC の情報を確認してください。
ImageMagick Security Issue
https://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588
本脆弱性の実証コードがすでに公開されており、JPCERT/CC にて検証した結
果、ImageMagick を実行しているユーザの権限で任意の OS コマンドが実行さ
れることを確認しています。
ImageMagick Studio LLC からは、本脆弱性に対する修正済みのソフトウエア
が提供されています。影響するバージョンのソフトウエアを利用している利用
者は、早期に対策を行うことを強く推奨します。なお、ImageMagick を内部的
に利用する Web アプリケーションを使用している場合には、本脆弱性の影響を
受ける可能性がありますので、本ソフトウエアのアップデートなどの対策を行
うことをお勧めいたします。
II. 対象
対象となるソフトウエアとバージョンは以下の通りです。
ImageMagick
- 6 系列 6.9.3-9 およびそれ以前
- 7 系列 7.0.1-0 およびそれ以前
JPCERT/CC にて実証コードを検証した結果、上記のバージョンにて実証コード
が動作し、任意の OS コマンドが実行可能なことを確認しています。
ディストリビュータが提供している ImageMagick をお使いの場合は、ディス
トリビュータなどの情報も参照してください。
III. 対策
ImageMagick を以下の最新のバージョンに更新してください。
ImageMagick
- 6 系列 6.9.3-10
- 7 系列 7.0.1-1
JPCERT/CC にて実証コードを検証した結果、上記のバージョンにて本脆弱
性 (CVE-2016-3714) に対する実証コードが動作しないことを確認しています。
本脆弱性 (CVE-2016-3714) と併せて指摘されている脆弱性 (CVE-2016-3715,
CVE-2016-3716, CVE-2016-3717, CVE-2016-3718) については、ソフトウエアの
アップデート以外に、ImageMagick の設定ファイル (policy.xml) の設定により、
対策を行う必要があります。詳細は、「IV. 回避策」を参照してください。
IV. 回避策
アップデートが困難な場合など、脆弱性の影響を受けないように、処理の制限
などの設定を行ってください。なお、回避策の適用にあたっては、十分に影響範
囲を考慮の上、実施してください。
- ImageMagick の設定ファイル (policy.xml) の設定を変更し、処理を制限をする
設定内容の詳細は、ImageMagick Studio LLC およびディストリビュータの
提供する情報を参照してください。設定ファイル (policy.xml) が存在し
ない場合には、MVG 等の処理を行う機能を無効にしてください。
ImageMagick Studio LLC
ImageMagick Security Issue
https://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588
RedHat,Inc
ImageMagick Filtering Vulnerability - CVE-2016-3714
https://access.redhat.com/security/vulnerabilities/2296071
V. 参考情報
ImageMagick Studio LLC
ImageMagick: Changelog
https://imagemagick.org/script/changelog.php
ImageMagic Studio LLC
ImageMagick/ChangeLog at ImageMagick/ChangeLog at ImageMagick-6
https://github.com/ImageMagick/ImageMagick/blob/ImageMagick-6/ChangeLog
US-CERT Current Activity
ImageMagick Vulnerability
https://www.us-cert.gov/ncas/current-activity/2016/05/04/ImageMagick-Vulnerability
Vulnerability Note VU#250519
ImageMagick does not properly validate input before processing images using a delegate
https://www.kb.cert.org/vuls/id/250519
SANS Internet Storm Center
ImageTragick: Another Vulnerability, Another Nickname
https://isc.sans.edu/forums/diary/ImageTragick+Another+Vulnerability+Another+Nickname/21023/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
- 2016-04-27
- ソフトウェア等の脆弱性関連情報の取扱いに関する届出状況[2016年第1四半期(1月~3月)]
- 2016-04-25
- 分析センターだより「Adwindが持つ難読化された文字列の解読(2016-04-25)」を公開
- 2016-04-22
- 採用情報「募集職種(2016/04/22)」を更新
- 2016-04-20
- 長期休暇に備えて 2016/04
・分析センターだより「Adwindが持つ難読化された文字列の解読(2016-04-25)」
・高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて
・分析センターだより「改ざんの標的となるCMS内のPHPファイル(2016-02-25)」
・注意喚起「ネットワークに接続されたシステム・機器の設定には注意を」
・分析センターだより「帰ってきたバンキングトロイCitadel(2016-01-05)」
講演資料公開中
・「日本の組織をターゲットにした 攻撃キャンペーンの詳細 」
・「Active Directoryが危ない!標的型攻撃から守れ」
・「Android Secure Coding」
・「Recommendation of Perfect Unpacking」
・「Webアプリケーション開発におけるHTML5のセキュリティ」
JPCERT/CC職員の講演・執筆活動一覧をご覧いただけます。