Sicherheitslücke in ImageMagick

Sicherheitslücke in ImageMagick

Imagetragick

Tim Schürmann
04.05.2016 Die Bildbearbeitungssoftware ImageMagick liegt nicht nur vielen Linux-Distributionen bei, sie kommt auch auf Webservern zum Einsatz. Jetzt wurde eine dramatische Sicherheitslücke entdeckt. Ein Update von ImageMagick steht jedoch noch aus.

Angreifer müssen lediglich ein manipuliertes Bild hochladen, um auf dem Server Schadcode ausführen zu können. Konkret soll es gleich mehrere Probleme geben: Zum einen prüft ImageMagick nicht den Dateinamen. Dadurch können Angreifer Shell-Code im Dateinamen unterbringen, den dann ImageMagick unter Umständen startet. Darüber hinaus können einige Bildformate ebenfalls Code enthalten, den ImageMagick nicht genügend prüft. Abschließend untersucht die Bildbearbeitungssoftware das Dateiformat der Bilder unzureichend: Kann es das Format nicht eindeutig feststellen, versucht es die Datei in eine temporäre zu entpacken. Auch dies sollen Angreifer für ihre Zwecke ausnutzen können.

Betroffen von der Imagetragick getauften Sicherheitslücke sind auch Bibliotheken, die auf ImageMagick zurückgreifen, wie etwa imagick für PHP oder rmagick für Ruby.

Die ImageMagick-Entwickler arbeiten bereits an einem Update, das allerdings im Moment noch nicht zur Verfügung steht. Server-Betreiber können sich bis dahin mit Workarounds behelfen. Entdeckt haben die Fehler ein Sicherheitsforscher mit dem Pseudonym Stewie sowie Nikolay Ermishkin vom russischen E-Mail-Anbieter Mail.Ru.

Viele Webanwendungen nutzen ImageMagick um Bilder zu verkleinern, zu skalieren oder zu rotieren.

Ähnliche Artikel

  • Bildbearbeitung mit ImageMagick
    Wer nicht 1000 Urlaubsbilder von Hand skalieren, normieren, beschneiden oder mit Wasserzeichen versehen möchte, für den führt kein Weg an der Werkzeugsammlung ImageMagick vorbei.
  • Zügiger Wechsel
    Manchmal muss man einen ganzen Schwung Bilder am Stück konvertieren. Hier macht ExactImage dem traditionellen ImageMagick Konkurrenz.
  • Zu Befehl: Grafik-Tools aus ImageMagick
    Gimp ist das Standardprogramm, wenn es um anspruchsvolle Bildbearbeitung geht. Doch viele Aufgaben, wie Größenänderung und Formatkonvertierung, erledigen Sie auch schnell auf der Kommandozeile.
  • Am laufenden Band
    Kommandozeilenprogramme zur Bildbearbeitung punkten gegenüber den Tools mit grafischer Oberfläche durch einen entscheidenden Vorteil: Sie bieten vor allem beim Bearbeiten mehrerer Bilder deutlich mehr Flexibilität.
  • Weniger ist mehr
    Das ursprünglich für die automatische Bildaufbereitung von gescannten Bildern entwickelte ExactImage lässt sich auch im Alltag an verschiedenen Stellen nutzbringend einsetzen.

Kommentare

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...