Wir haben Ihre Kontaktanfrage erhalten
und antworten Ihnen so schnell wie möglich.
Schließen
Bitte füllen Sie das Formular richtig aus.
Zurück
Das Formular konnte nicht abgesendet werden.
Schließen
Sicherheitslücke in ImageMagick
Donnerstag, 12. Mai 2016
Viele Websites setzen die Bildbearbeitungsbibliothek „ImageMagick“ ein, um Nutzern eine einfache Bearbeitung von Bildern anbieten zu können. Vor kurzem wurde bekannt, dass eine Sicherheitslücke es Angreifern unter bestimmten Bedingungen ermöglicht, durch das Einschleusen von präparierten Bildern Schadcode auszuführen. Verwundbar sind vor allem soziale Netzwerke, Foren und ähnliche Seiten, die ihren Nutzern das Hochladen von Bildern ermöglichen. Viele CONTENS-Kunden verwenden ImageMagick außerdem zur Bearbeitung von Bildern im CMS Backend. Sollten Sie ImageMagick im CMS Backend oder auch auf Liveservern einsetzen, empfehlen wir die folgenden Sicherheitsmaßnahmen.
Update von ImageMagick auf die aktuellste VersionDie aktuelle Softwareversion können Sie hier herunterladen. Beachten Sie dabei auch die Hinweise zu den verschiedenen Download-Möglichkeiten für Windows. Es stehen verschiedene Versionen zur Auswahl, die sich in Geschwindigkeit, Speicherverbrauch und Qualität der erzeugten Bilder unterscheiden. Testen Sie nach dem Update, ob die Bildbearbeitung das gewünschte Ergebnis liefert und wechseln Sie gegebenenfalls auf eine andere Version. Da bisher noch nicht alle Probleme per Patch behoben werden konnten, sollten Sie zusätzlich die nachfolgenden Schritte beachten.
Überprüfung der Magic Bytes„Magic Bytes“ sind Signaturen am Anfang von Dateien, die den Dateityp beschreiben. Stellen Sie sicher, dass bei jedem Bildupload zunächst überprüft wird, ob die Magic Bytes der hochgeladenen Datei mit der Dateiendung übereinstimmen. Eine ausführliche Liste möglicher Dateisignaturen steht hier zur Verfügung.
Anpassung der Policy-DateiUm ImageMagick gegen Angriffe abzusichern, sollten Sie die Policy-Datei wie folgt erweitern:
<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
<policy domain="coder" rights="none" pattern="TEXT" />
<policy domain="coder" rights="none" pattern="SHOW" />
<policy domain="coder" rights="none" pattern="WIN" />
<policy domain="coder" rights="none" pattern="PLT" />
</policymap>Die Policy-Datei befindet sich üblicherweise im Ordner /etc/ImageMagick. Eine detaillierte Beschreibung zur Anpassung des Policy-Files finden Sie hier.
Sie haben Cookies akzeptiert
Sie haben Cookies abgelehnt
Diese Website verwendet Cookies. Nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie unter www.contens.de/datenschutz. Für eine optimale Nutzung unserer Website wählen Sie bitte “Akzeptieren”.