Sicherheitslücke in ImageMagick

20160511_imagemagick

Donnerstag, 12. Mai 2016

Viele Websites setzen die Bildbearbeitungsbibliothek „ImageMagick“ ein, um Nutzern eine einfache Bearbeitung von Bildern anbieten zu können. Vor kurzem wurde bekannt, dass eine Sicherheitslücke es Angreifern unter bestimmten Bedingungen ermöglicht, durch das Einschleusen von präparierten Bildern Schadcode auszuführen. Verwundbar sind vor allem soziale Netzwerke, Foren und ähnliche Seiten, die ihren Nutzern das Hochladen von Bildern ermöglichen. Viele CONTENS-Kunden verwenden ImageMagick außerdem zur Bearbeitung von Bildern im CMS Backend. Sollten Sie ImageMagick im CMS Backend oder auch auf Liveservern einsetzen, empfehlen wir die folgenden Sicherheitsmaßnahmen.

Update von ImageMagick auf die aktuellste VersionDie aktuelle Softwareversion können Sie hier herunterladen. Beachten Sie dabei auch die Hinweise zu den verschiedenen Download-Möglichkeiten für Windows. Es stehen verschiedene Versionen zur Auswahl, die sich in Geschwindigkeit, Speicherverbrauch und Qualität der erzeugten Bilder unterscheiden. Testen Sie nach dem Update, ob die Bildbearbeitung das gewünschte Ergebnis liefert und wechseln Sie gegebenenfalls auf eine andere Version. Da bisher noch nicht alle Probleme per Patch behoben werden konnten, sollten Sie zusätzlich die nachfolgenden Schritte beachten.

Überprüfung der Magic Bytes„Magic Bytes“ sind Signaturen am Anfang von Dateien, die den Dateityp beschreiben. Stellen Sie sicher, dass bei jedem Bildupload zunächst überprüft wird, ob die Magic Bytes der hochgeladenen Datei mit der Dateiendung übereinstimmen. Eine ausführliche Liste möglicher Dateisignaturen steht  hier zur Verfügung.

Anpassung der Policy-DateiUm ImageMagick gegen Angriffe abzusichern, sollten Sie die Policy-Datei wie folgt erweitern:
<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
<policy domain="coder" rights="none" pattern="TEXT" />
<policy domain="coder" rights="none" pattern="SHOW" />
<policy domain="coder" rights="none" pattern="WIN" />
<policy domain="coder" rights="none" pattern="PLT" />
</policymap>Die Policy-Datei befindet sich üblicherweise im Ordner /etc/ImageMagick. Eine detaillierte Beschreibung zur Anpassung des Policy-Files finden Sie hier.

zurück