PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Webseiten mit ImageMagick-Bibliothek im Fokus von Angreifern



RedDevil
05.05.2016, 11:25
https://www.szenebox.org/images/_imported/2016/05/26.jpg

Durch das alleinige Hochladen von präparierten Bildern auf Webseiten die auf die ImageMagick-Bibliothek oder darauf basierende Plug-ins setzen, können Angreifer Schad-Code auf Servern ausführen. Aktuell soll das bereits geschehen.

Wer auf seiner Webseite die ImageMagick-Bibliothek zur Bildbearbeitung einsetzt ist gefährdet, denn Angreifer können eine Sicherheitslücke (CVE-2016–3714) in der Software ausnutzen, um beliebigen Code auf Server zu schieben.

Das Problem dabei ist, dass viele Plug-ins auf die Bibliothek aufbauen. Dementsprechend sind unter anderem etwa PHP's imagick, Ruby's rmagick und paperclip und nodej's imagegick auch verwundbar.

Webseiten, die als Service einen Bilder-Upload anbieten, sind besonders bedroht, denn das alleinige Hochladen eines präparierten Bildes soll einen Übergriff einleiten können. Aktuell soll die Lücke aktiv ausgenutzt werden, warnen Sicherheitsforscher (https://imagetragick.com/) auf einer eigens zur Schwachstelle eingerichteten Webseite.

Workarounds zum Absichern
Die ImageMagick-Entwickler haben noch für diese Woche abgesicherte Versionen angekündigt (https://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588). Wie und wann die Entwickler der auf der ImageMagick-Bibliothek basierenden Plug-ins ihre Software absichern wollen, ist derzeit nicht bekannt.

Bislang existieren zwei Workarounds, damit sich Webseiten-Betreiber schützen können. Der erste beschreibt, dass Admins sicherstellen müssen, dass alle Bild-Dateien mit den korrekten magic bytes (https://en.wikipedia.org/wiki/List_of_file_signatures) beginnen. Diese beschreiben den Dateityp.

Zusätzlich wird empfohlen, eine Policy-Datei (https://www.imagemagick.org/script/resources.php) mit Restriktionen zu erstellen, um Anfälligkeiten von ImageMagick entgegenzuwirken. Diese muss bei der Standard-Installation im Ordner /etc/ImageMagick abgelegt werden.


<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
</policymap>

Den Entdeckern der Lücke zufolge sichern die Workarounds betroffene Web-Server gegen den ihnen bekannten Exploit ausreichend ab.

Exploit nicht veröffentlicht
Die Schwachstelle wurde vom Sicherheitsforscher mit dem Pseudonym Stewie von der Bug-Bounty-Plattform Hackerone entdeckt. Weitere Details förderte der Kryptologe Kikolay Ermishkin vom Sicherheitsteam von Mail.ru zutage.

Eigenen Angaben zufolge haben sie sich dazu entschlossen die Lücke öffentlich zu machen, da bereits im Vorfeld viele davon wussten. Ihren Exploit haben sie laut eigenen Angaben nicht veröffentlicht. Aufgrund seiner Trivialität gehen die Entdecker aber davon aus, dass er zeitnah im Umlauf ist.

Quelle: Heise.de (http://www.heise.de/security/meldung/Webseiten-mit-ImageMagick-Bibliothek-im-Fokus-von-Angreifern-3196901.html)