パソコンの誤操作、不正アクセス、紛失、盗難などによる個人情報や機密情報の流出などは後を絶ちません。
「情報漏えいニュース」では、日々発生する情報漏えいに関するニュースをまとめて公開しています。

ImageMagick、ImageMagick に入力値検証不備の脆弱性を確認

  • 元記事:ImageTragick
  • 元記事:ImageMagick does not properly validate input before processing images using a delegate
  • HP: ImageMagick
  • 発表日時 2016/5/4

    ImageMagick にDeleGateを使用したイメージの処理に入力検証不備の脆弱性が確認された。影響を受けるのはmageMagick version 6.9.3-10以前およびImageMagick 7.0.1-1以前のバージョンで、ImageMagick には外部ライブラリを使用してファイルを処理する delegate という機能があり、設定ファイル delegates.xml で指定されたコマンド名 (‘command’) と、入力ファイル名や出力ファイル名などパラメータの値で組み立てられた文字列を system() 関数に渡して実行するが、パラメータ %M に当てはめる入力値のフィルタリングが不十分なことにより、シェルコマンドインジェクションが可能となる。この脆弱性が悪用されると
    画像ファイルのアップロードが可能な攻撃者に、ImageMagick の実行可能なユーザ権限で任意のコードを実行される恐れがある。解決策として、 ImageMagick 6.9.4-0および ImageMagick 7.0.1-2 が公開されており、アップデートによりこの脆弱性は修正される。




    あわせて読みたい