Menü
Alert!
Security

Webseiten mit ImageMagick-Bibliothek im Fokus von Angreifern

Durch das alleinige Hochladen von präparierten Bildern auf Webseiten die auf die ImageMagick-Bibliothek oder darauf basierende Plug-ins setzen, können Angreifer Schad-Code auf Servern ausführen. Aktuell soll das bereits geschehen.

Von
vorlesen Drucken Kommentare lesen 87 Beiträge
Webseiten mit ImageMagick-Biblitohek im Fokus von Angreifern

(Bild: ImageTragick )

Wer auf seiner Webseite die ImageMagick-Bibliothek zur Bildbearbeitung einsetzt ist gefährdet, denn Angreifer können eine Sicherheitslücke (CVE-2016–3714) in der Software ausnutzen, um beliebigen Code auf Server zu schieben.

Das Problem dabei ist, dass viele Plug-ins auf die Bibliothek aufbauen. Dementsprechend sind unter anderem etwa PHP's imagick, Ruby's rmagick und paperclip und nodej's imagegick auch verwundbar.

Webseiten, die als Service einen Bilder-Upload anbieten, sind besonders bedroht, denn das alleinige Hochladen eines präparierten Bildes soll einen Übergriff einleiten können. Aktuell soll die Lücke aktiv ausgenutzt werden, warnen Sicherheitsforscher auf einer eigens zur Schwachstelle eingerichteten Webseite.

Workarounds zum Absichern

Die ImageMagick-Entwickler haben noch für diese Woche abgesicherte Versionen angekündigt. Wie und wann die Entwickler der auf der ImageMagick-Bibliothek basierenden Plug-ins ihre Software absichern wollen, ist derzeit nicht bekannt.

Bislang existieren zwei Workarounds, damit sich Webseiten-Betreiber schützen können. Der erste beschreibt, dass Admins sicherstellen müssen, dass alle Bild-Dateien mit den korrekten magic bytes beginnen. Diese beschreiben den Dateityp.

Zusätzlich wird empfohlen, eine Policy-Datei mit Restriktionen zu erstellen, um Anfälligkeiten von ImageMagick entgegenzuwirken. Diese muss bei der Standard-Installation im Ordner /etc/ImageMagick abgelegt werden.

<policymap>

<policy domain="coder" rights="none" pattern="EPHEMERAL" />

<policy domain="coder" rights="none" pattern="URL" />

<policy domain="coder" rights="none" pattern="HTTPS" />

<policy domain="coder" rights="none" pattern="MVG" />

<policy domain="coder" rights="none" pattern="MSL" />

<policy domain="coder" rights="none" pattern="TEXT" />

<policy domain="coder" rights="none" pattern="SHOW" />

<policy domain="coder" rights="none" pattern="WIN" />

<policy domain="coder" rights="none" pattern="PLT" />

</policymap>

Den Entdeckern der Lücke zufolge sichern die Workarounds betroffene Web-Server gegen den ihnen bekannten Exploit ausreichend ab.

Exploit nicht veröffentlicht

Die Schwachstelle wurde vom Sicherheitsforscher mit dem Pseudonym Stewie von der Bug-Bounty-Plattform Hackerone entdeckt. Weitere Details förderte der Kryptologe Kikolay Ermishkin vom Sicherheitsteam von Mail.ru zutage.

Eigenen Angaben zufolge haben sie sich dazu entschlossen die Lücke öffentlich zu machen, da bereits im Vorfeld viele davon wussten. Ihren Exploit haben sie laut eigenen Angaben nicht veröffentlicht. Aufgrund seiner Trivialität gehen die Entdecker aber davon aus, dass er zeitnah im Umlauf ist.

[UPDATE, 06.05.2016 12:45 Uhr]

Weitere Restriktionen für die Policy-Datei hinzugefügt. (des)