Sicherheitslücke in ImageMagick

Sicherheitslücke in ImageMagick

Imagetragick

Tim Schürmann
04.05.2016 Die Bildbearbeitungssoftware ImageMagick liegt nicht nur vielen Linux-Distributionen bei, sie kommt auch auf Webservern zum Einsatz. Jetzt wurde eine dramatische Sicherheitslücke entdeckt. Ein Update von ImageMagick steht jedoch noch aus.

Angreifer müssen lediglich ein manipuliertes Bild hochladen, um auf dem Server Schadcode ausführen zu können. Konkret soll es gleich mehrere Probleme geben: Zum einen prüft ImageMagick nicht den Dateinamen. Dadurch können Angreifer Shell-Code im Dateinamen unterbringen, den dann ImageMagick unter Umständen startet. Darüber hinaus können einige Bildformate ebenfalls Code enthalten, den ImageMagick nicht genügend prüft. Abschließend untersucht die Bildbearbeitungssoftware das Dateiformat der Bilder unzureichend: Kann es das Format nicht eindeutig feststellen, versucht es die Datei in eine temporäre zu entpacken. Auch dies sollen Angreifer für ihre Zwecke ausnutzen können.

Betroffen von der Imagetragick getauften Sicherheitslücke sind auch Bibliotheken, die auf ImageMagick zurückgreifen, wie etwa imagick für PHP oder rmagick für Ruby.

Die ImageMagick-Entwickler arbeiten bereits an einem Update, das allerdings im Moment noch nicht zur Verfügung steht. Server-Betreiber können sich bis dahin mit Workarounds behelfen. Entdeckt haben die Fehler ein Sicherheitsforscher mit dem Pseudonym Stewie sowie Nikolay Ermishkin vom russischen E-Mail-Anbieter Mail.Ru.

Viele Webanwendungen nutzen ImageMagick um Bilder zu verkleinern, zu skalieren oder zu rotieren.

Ähnliche Artikel

  • Bildbearbeitung mit ImageMagick
    Wer nicht 1000 Urlaubsbilder von Hand skalieren, normieren, beschneiden oder mit Wasserzeichen versehen möchte, für den führt kein Weg an der Werkzeugsammlung ImageMagick vorbei.
  • Zügiger Wechsel
    Manchmal muss man einen ganzen Schwung Bilder am Stück konvertieren. Hier macht ExactImage dem traditionellen ImageMagick Konkurrenz.
  • Zu Befehl: Grafik-Tools aus ImageMagick
    Gimp ist das Standardprogramm, wenn es um anspruchsvolle Bildbearbeitung geht. Doch viele Aufgaben, wie Größenänderung und Formatkonvertierung, erledigen Sie auch schnell auf der Kommandozeile.
  • Am laufenden Band
    Kommandozeilenprogramme zur Bildbearbeitung punkten gegenüber den Tools mit grafischer Oberfläche durch einen entscheidenden Vorteil: Sie bieten vor allem beim Bearbeiten mehrerer Bilder deutlich mehr Flexibilität.
  • Weniger ist mehr
    Das ursprünglich für die automatische Bildaufbereitung von gescannten Bildern entwickelte ExactImage lässt sich auch im Alltag an verschiedenen Stellen nutzbringend einsetzen.

Kommentare

Aktuelle Fragen

kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 4 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...
WLan mit altem Notebook funktioniert nicht mehr
Stefan Jahn, 22.08.2017 15:13, 0 Antworten
Ich habe ein altes Compaq-6710b Notebook mit Linux Mint Sonya bei dem WLan neulich noch funktioni...
Würde gerne openstreetmap.de im Tor-Browser benutzen, oder zu gefährlich?
Wimpy *, 21.08.2017 13:24, 2 Antworten
Im Tor-Netzwerk (Tor-Browser) kann ich https://www.openstreetmap.de/karte.html# nicht nutzen....
Samsung VG-KBD1500 - Bluetooth-Tastatur mit Touchpad mit Xubuntu 16.04.2 LTS
Linux- & BSD-UserGroup im Weserbergland, 16.08.2017 19:16, 0 Antworten
Bin grad mit "meinem Latein am Ende" darum hier mal so in den Raum geworfen. Samsung VG-KBD1500 -...