Sg. Kundinnen und Kunden, im Anhang finden Sie die Warnung von cert.at zu Sicherheitslücken in ImageMagick.
Sie finden Details auch auf der Website https://imagetragick.com/
Abhilfe schafft wie beschrieben eine policymap in der Datei policy.xml von ImageMagick (IM). Diese findet sich in aktuellen Linux-Distributionen meist hier: /etc/ImageMagick/policy.xml In älteren Versionen insbesondere von Debian ist diese auch oft unter zB /usr/lib/ImageMagick-6.6.0/config/policy.xml (bzw. anderen Versionsnummern von IM) zu finden.
Wenn Sie Hilfe bei der Konfiguration Ihres Servers benötigen, verständigen Sie bitte unseren support@kapper.net.
Für weitere Fragen stehen wir natürlich über unseren Support auch gerne zur Verfügung.
Mit freundlichen Grüßen, Ihr support@kapper.net.
PS. Sollten Sie noch keine cert.at Warnungen erhalten, empfehlen wir die Warn-Mailingliste von cert.at zu abonnieren: https://lists.cert.at/cgi-bin/mailman/listinfo/warning
-----Original Message----- From: Warning [mailto:warning-bounces@lists.cert.at] On Behalf Of Alexander Riepl Sent: Wednesday, May 4, 2016 9:33 AM To: warning@lists.cert.at Subject: [Warning] Kritische Sicherheitslücke in ImageMagick
Kritische Sicherheitslücke in ImageMagick
- Mai 2016
Wie gestern bekannt wurde gibt es mehrere Probleme in mehreren Versionen von ImageMagick. Die kritischste Schwachstelle ermöglicht potentiell das Ausführen von Code.
Ob der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Hinweise.
Beschreibung
In der ImageMagick-Funktion, welche für das Konvertieren bestimmter Dateiformate (darunter mvg und svg, welche das Einbetten externer Ressourcen erlauben) verantwortlich ist, gibt es einen Fehler in der Input-Filterung, der mittels speziell konstruierter Dateien zur Ausführung von Code missbraucht werden kann.
Eintrag in der CVE-Datenbank: CVE-2016-3714.
Auswirkungen
Aufgrund der weiten Verbreitung von ImageMagick, sowohl clientseitig (z.B. via LibreOffice, Calibre oder Inkscape) als auch serverseitig (z.B. via Drupal, Mediawiki oder vBulletin), sind die potentiellen Angriffsvektoren zahlreich und vielseitig.
Grundsätzlich ist damit jede Software betroffen, die aus externen Quellen (z.B. Webseiten oder Benutzereingabe) übergebene Bilder via ImageMagick verarbeitet.
Nach erfolgreichem Ausnützen der Schwachstelle kann ein Angreifer beliebigen Code mit den Rechten des Benutzers, unter dessen Account die betroffene Software läuft, ausführen. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Datenbank-Anbindungen, Fileshares etc.) Daten und Systeme gefährdet.
Da die Lücke nun öffentlich bekannt ist und der entsprechende Exploit-Code inzwischen ebenfalls öffentlich verfügbar ist, ist auch anzunehmen, dass sich diverse Akteure nun darauf konzentrieren werden, und entsprechend ist bald mit grossflächigen Kampagnen, die diese Schwachstelle auszunutzen versuchen, zu rechnen.
Betroffene Systeme
Laut einem Eintrag auf OSS-Security sind alle Varianten der 'Branches' 6 und 7 betroffen:
Ubuntu 14.04 and OS X, latest system packages (ImageMagick 6.9.3-7 Q16 x86_64 2016-04-27 and ImageMagick 6.8.6-10 2016-04-29 Q16) and latest sources from 6 and 7 branches all are vulnerable.
Es ist aber nicht auszuschliessen, dass noch weitere Versionen verwundbar sind.
Abhilfe
Die aktuell bereitgestellten Patches lösen das Problem nicht, fuer den Moment sind folgende Möglichkeiten verfügbar, die Auswirkungen der Schwachstelle zu mitigieren: * Prüfen aller an ImageMagick übergebener Bilddateien auf die entsprechenden "magic bytes", eine Liste dieser ist auf Wikipedia verfügbar * Verwenden einer sogenannten Policy-Datei, um die verwundbaren ImageMagick coder zu deaktivieren.
Die globale Policy-Datei findet sich im Normalfall unter /etc/ImageMagick/policy.xml; mit der folgenden Konfiguration kann ein Ausnutzen der Schwachstelle verhindert werden:
<policymap> <policy domain="coder" rights="none" pattern="EPHEMERAL" /> <policy domain="coder" rights="none" pattern="URL" /> <policy domain="coder" rights="none" pattern="HTTPS" /> <policy domain="coder" rights="none" pattern="MVG" /> <policy domain="coder" rights="none" pattern="MSL" /> </policymap>
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):
- Mail auf OSS-Security (englisch)
http://www.openwall.com/lists/oss-security/2016/05/03/18 CVE-Eintrag auf mitre.org (englisch)
Eintrag auf Wikipedia (englisch)
Eintrag auf imagemagick.org (englisch)
-- // Alexander Riepl riepl@cert.at - T: +43 1 5056416 78 // CERT Austria - http://www.cert.at/ // Eine Initiative der nic.at GmbH - http://www.nic.at/ // Firmenbuchnummer 172568b, LG Salzburg
inetbuglist@mailman.kapper.net