Sicherheitslücke in ImageMagick

Sicherheitslücke in ImageMagick

Imagetragick

Tim Schürmann
04.05.2016 Die Bildbearbeitungssoftware ImageMagick liegt nicht nur vielen Linux-Distributionen bei, sie kommt auch auf Webservern zum Einsatz. Jetzt wurde eine dramatische Sicherheitslücke entdeckt. Ein Update von ImageMagick steht jedoch noch aus.

Angreifer müssen lediglich ein manipuliertes Bild hochladen, um auf dem Server Schadcode ausführen zu können. Konkret soll es gleich mehrere Probleme geben: Zum einen prüft ImageMagick nicht den Dateinamen. Dadurch können Angreifer Shell-Code im Dateinamen unterbringen, den dann ImageMagick unter Umständen startet. Darüber hinaus können einige Bildformate ebenfalls Code enthalten, den ImageMagick nicht genügend prüft. Abschließend untersucht die Bildbearbeitungssoftware das Dateiformat der Bilder unzureichend: Kann es das Format nicht eindeutig feststellen, versucht es die Datei in eine temporäre zu entpacken. Auch dies sollen Angreifer für ihre Zwecke ausnutzen können.

Betroffen von der Imagetragick getauften Sicherheitslücke sind auch Bibliotheken, die auf ImageMagick zurückgreifen, wie etwa imagick für PHP oder rmagick für Ruby.

Die ImageMagick-Entwickler arbeiten bereits an einem Update, das allerdings im Moment noch nicht zur Verfügung steht. Server-Betreiber können sich bis dahin mit Workarounds behelfen. Entdeckt haben die Fehler ein Sicherheitsforscher mit dem Pseudonym Stewie sowie Nikolay Ermishkin vom russischen E-Mail-Anbieter Mail.Ru.

Viele Webanwendungen nutzen ImageMagick um Bilder zu verkleinern, zu skalieren oder zu rotieren.

Ähnliche Artikel

  • Bildbearbeitung mit ImageMagick
    Wer nicht 1000 Urlaubsbilder von Hand skalieren, normieren, beschneiden oder mit Wasserzeichen versehen möchte, für den führt kein Weg an der Werkzeugsammlung ImageMagick vorbei.
  • Zügiger Wechsel
    Manchmal muss man einen ganzen Schwung Bilder am Stück konvertieren. Hier macht ExactImage dem traditionellen ImageMagick Konkurrenz.
  • Zu Befehl: Grafik-Tools aus ImageMagick
    Gimp ist das Standardprogramm, wenn es um anspruchsvolle Bildbearbeitung geht. Doch viele Aufgaben, wie Größenänderung und Formatkonvertierung, erledigen Sie auch schnell auf der Kommandozeile.
  • Am laufenden Band
    Kommandozeilenprogramme zur Bildbearbeitung punkten gegenüber den Tools mit grafischer Oberfläche durch einen entscheidenden Vorteil: Sie bieten vor allem beim Bearbeiten mehrerer Bilder deutlich mehr Flexibilität.
  • Weniger ist mehr
    Das ursprünglich für die automatische Bildaufbereitung von gescannten Bildern entwickelte ExactImage lässt sich auch im Alltag an verschiedenen Stellen nutzbringend einsetzen.

Kommentare

Aktuelle Fragen

JQuery-Script läuft nicht mit Linux-Browsern
Stefan Jahn, 16.02.2018 12:49, 2 Antworten
Hallo zusammen, ...folgender goldener Code (ein jQuery-Script als Ergebnis verschiedener Exper...
XSane-Fotokopie druckt nicht mehr
Wimpy *, 30.01.2018 13:29, 0 Antworten
openSuse 42.3 KDE 5.8.7 Seit einem Software-Update druckt XSane keine Fotokopie mehr aus. Fehler...
TOR-Browser stürzt wegen Wikipedia ab
Wimpy *, 27.01.2018 14:57, 0 Antworten
Tor-Browser 7.5 based on Mozilla Firefox 52.8.0 64-Bit. Bei Aufruf von http: oder https://de.wi...
Wifikarte verhindert Bootvorgang
Maik Kühn, 21.01.2018 22:23, 1 Antworten
iwlwifi-7265D -26 failed to load iwlwifi-7265D -25 failed to load iwlwifi-7265D -24 failed to l...
sharklinux
Gerd-Peter Behrendt, 18.01.2018 23:58, 2 Antworten
Hallo zusammen, ich habe sharklinux von der DVD Installiert. 2x, jedesmal nach dem Reboot ist di...