| タイトル | ImageMagick に入力値検証不備の脆弱性 |
|---|---|
| 概要 | ImageMagick は、delegate の仕組みを使って入力データの処理を行う前の検証が適切に実行されていないため、結果として任意のコードを実行される可能性があります。この問題は "ImageTragick" としても知られています。 不適切な入力検査 (CWE-20) - CVE-2016-3714 CWE-20: Improper Input Validation http://cwe.mitre.org/data/definitions/20.html 研究者は、メーリングリストに次のように投稿しています: Insufficient filtering for filename passed to delegate's command allows remote code execution during conversion of several file formats. ImageMagick allows to process files with external libraries. This feature is called 'delegate'. It is implemented as a system() with command string ('command') from the config file delegates.xml with actual value for different params (input/output filenames etc). Due to insufficient %M param filtering it is possible to conduct shell command injection. delegate 先のコマンドに渡す前のファイル名のフィルタリングが不十分なため、ファイル形式の変換中に任意のコードを実行される可能性がある。 ImageMagick には外部ライブラリを使用してファイルを処理する 'delegate' と呼ばれる機能が存在する。この機能は、設定ファイル delegates.xml で指定されたコマンド名 ('command') と、入力ファイル名や出力ファイル名などのパラメータの値を使って組み立てられた文字列を system() 関数に渡して実行する形で実装されている。パラメータ %M に当てはめる入力値のフィルタリングが不十分なため、シェルコマンドインジェクションが可能である。 ImageMagick に画像ファイルを処理させることで、攻撃者は ImageMagick が動作しているシステム上で任意のコマンドを実行することが可能です。本脆弱性の影響を受ける典型的な構成例としては、ファイルのアップロードを許可しているウェブサーバで、アップロードされたファイルを ImageMagick で処理しているケースが考えられます。 本脆弱性を使用した攻撃コードが公開されています。ウェブサイト ImageTragick (imagetragick.com) によれば、既に本脆弱性を使用した攻撃活動が観測されているとのことです。 ImageTragick https://imagetragick.com/ |
| 想定される影響 | 画像ファイルをアップロードできる遠隔の第三者によって、ImageMagick を実行するユーザの権限で任意のコードを実行される可能性があります。 |
| 対策 | [アップデートする] 本脆弱性は ImageMagick 6.9.3-10 および 7.0.1-1 で修正されています。 なお 2016年5月9日現在、さらなるアップデート版として ImageMagick 6.9.4-0 および 7.0.1-2 がリリースされています。 開発者が提供する情報をもとに最新版へアップデートしてください。 あわせて、研究者が示す次の手順を参考に、システム構成のセキュリティ強化や設定ファイルの更新を行ってください。 * ImageMagick による画像ファイルの処理を行う前に、その画像ファイル先頭の "magic bytes" が適切な値であることを確認する * ImageMagick のポリシーファイルにおいて、脆弱な coder を無効化する 詳細は、ウェブサイト ImageTragick (imagetragick.com) を参照してください。 ImageTragick https://imagetragick.com/ |
| 公表日 | 2016年5月4日0:00 |
| 登録日 | 2016年5月9日16:43 |
| 最終更新日 | 2016年11月18日16:58 |
| CVSS3.0 : 重要 | |
| スコア | 8.4 |
|---|---|
| ベクター | CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVSS2.0 : 危険 | |
| スコア | 10 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:C/I:C/A:C |
| ImageMagick |
| ImageMagick 6.9.3-10 より前のバージョン |
| ImageMagick 7.0.1-1 より前のバージョン |
| Canonical |
| Ubuntu 12.04 LTS |
| Ubuntu 14.04 LTS |
| Ubuntu 15.10 |
| Ubuntu 16.04 LTS |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2016年05月09日] 掲載 [2016年05月24日] 対策:内容を更新 [2016年06月01日] ベンダ情報:サイボウズ (imagemagickライブラリの脆弱性(CVE-2016-3714)について(2016/5/26)) を追加 ベンダ情報:サイボウズ ([CyVDB-1228]ImageMagick ライブラリに関する脆弱性 (Office 9)) を追加 ベンダ情報:サイボウズ ([CyVDB-1228]ImageMagick ライブラリに関する脆弱性 (Office 10)) を追加 ベンダ情報:サイボウズ ([CyVDB-1232]ImageMagick ライブラリに関する脆弱性 (MailWise 5)) を追加 [2016年08月31日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:レッドハット (RHSA-2016:0726) を追加 ベンダ情報:Canonical (USN-2990-1) を追加 [2016年10月07日] ベンダ情報:富士通 (脆弱性情報 2016年 (CVE-2016-3714)) を追加 [2016年11月18日] ベンダ情報:オラクル (Oracle Linux Bulletin - April 2016) を追加 ベンダ情報:オラクル (Oracle Solaris Third Party Bulletin - July 2016) を追加 |
2018年2月17日10:37 |
| 概要 | The (1) EPHEMERAL, (2) HTTPS, (3) MVG, (4) MSL, (5) TEXT, (6) SHOW, (7) WIN, and (8) PLT coders in ImageMagick before 6.9.3-10 and 7.x before 7.0.1-1 allow remote attackers to execute arbitrary code via shell metacharacters in a crafted image, aka "ImageTragick." |
|---|---|
| 概要 | Los codificadores (1) EPHEMERAL, (2) HTTPS, (3) MVG, (4) MSL, (5) TEXT, (6) SHOW, (7) WIN y (8) PLT en ImageMagick en versiones anteriores a 6.9.3-10 y 7.x en versiones anteriores a 7.0.1-1 permiten a atacantes remotos ejecutar código arbitrario a través de metacaracteres shell en una imagen manipulada, también conocido como "ImageTragick". |
| 公表日 | 2016年5月6日3:59 |
| 登録日 | 2021年1月26日14:11 |
| 最終更新日 | 2026年4月22日4:14 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:imagemagick:imagemagick:*:*:*:*:*:*:*:* | 6.9.3-9 | ||||
| cpe:2.3:a:imagemagick:imagemagick:7.0.0-0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:imagemagick:imagemagick:7.0.1-0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:lts:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:15.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:* | |||||
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:opensuse:leap:42.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:opensuse:opensuse:13.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:suse:suse_linux_enterprise_server:12:*:*:*:*:*:*:* | |||||