ImageMagick は、delegate の仕組みを使って入力データの処理を行う前の検証が適切に実行されていないため、結果として任意のコードを実行される可能性があります。この問題は "ImageTragick" としても知られています。 不適切な入力検査 (CWE-20) - CVE-2016-3714 CWE-20: Improper Input Validation http://cwe.mitre.org/data/definitions/20.html 研究者は、メーリングリストに次のように投稿しています: 　Insufficient filtering for filename passed to delegate's command allows remote code execution during conversion of several file formats. 　ImageMagick allows to process files with external libraries. This feature is called 'delegate'. It is implemented as a system() with command string ('command') from the config file delegates.xml with actual value for different params (input/output filenames etc). Due to insufficient %M param filtering it is possible to conduct shell command injection. 　delegate 先のコマンドに渡す前のファイル名のフィルタリングが不十分なため、ファイル形式の変換中に任意のコードを実行される可能性がある。 　ImageMagick には外部ライブラリを使用してファイルを処理する 'delegate' と呼ばれる機能が存在する。この機能は、設定ファイル delegates.xml で指定されたコマンド名 ('command') と、入力ファイル名や出力ファイル名などのパラメータの値を使って組み立てられた文字列を system() 関数に渡して実行する形で実装されている。パラメータ %M に当てはめる入力値のフィルタリングが不十分なため、シェルコマンドインジェクションが可能である。 ImageMagick に画像ファイルを処理させることで、攻撃者は ImageMagick が動作しているシステム上で任意のコマンドを実行することが可能です。本脆弱性の影響を受ける典型的な構成例としては、ファイルのアップロードを許可しているウェブサーバで、アップロードされたファイルを ImageMagick で処理しているケースが考えられます。 本脆弱性を使用した攻撃コードが公開されています。ウェブサイト ImageTragick (imagetragick.com) によれば、既に本脆弱性を使用した攻撃活動が観測されているとのことです。 ImageTragick https://imagetragick.com/

[アップデートする] 本脆弱性は ImageMagick 6.9.3-10 および 7.0.1-1 で修正されています。 なお 2016年5月9日現在、さらなるアップデート版として ImageMagick 6.9.4-0 および 7.0.1-2 がリリースされています。 開発者が提供する情報をもとに最新版へアップデートしてください。 あわせて、研究者が示す次の手順を参考に、システム構成のセキュリティ強化や設定ファイルの更新を行ってください。 　* ImageMagick による画像ファイルの処理を行う前に、その画像ファイル先頭の "magic bytes" が適切な値であることを確認する 　* ImageMagick のポリシーファイルにおいて、脆弱な coder を無効化する 詳細は、ウェブサイト ImageTragick (imagetragick.com) を参照してください。 ImageTragick https://imagetragick.com/