Se
han anunciado
cinco vulnerabilidades críticas en Imagemagick,
una herramienta empleada por millones de
sitios web para el tratamiento de imágenes. Estos problemas podrían
permitir el compromiso de cualquier sistema que utilice esta utilidad.
ImageMagick es un conjunto de utilidades
de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y
escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de
comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web
como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar
miniaturas. También es usado por otros programas para la conversión de imágenes.
En general, básicamente, los problemas residen en que ImageMagick pasa
las imágenes a sus herramientas a través
de comandos shell, pero no filtra adecuadamente los nombres de archivos y rutas,
lo que permite a las imágenes acceder al sistema de archivos.
El primer problema (con CVE-2016-3714)
reside en un filtrado inadecuado de caracteres al usar la característica "delegate" (empleada para tratar
archivos con librerías externas). Podría permitir la ejecución remota de código
durante la conversión de formatos de archivo.
Por otra parte, vulnerabilidades
por un tratamiento inadecuado de los archivos podrían permitir borrar (CVE-2016-3715), mover (CVE-2016-3716) o leer (CVE-2016-3717) archivos
arbitrarios del sistema afectado. Por último, con CVE-2016-3718, una
vulnerabilidad Server Side Request Forgery (SSRF) que
podría permitir a un atacante remoto realizar peticiones http o ftp.
Los problemas fueron reportados
por Nikolay Ermishkin del equipo de seguridad de Mail.Ru. Además se comprobado la facilidad con que es
posible explotar los problemas y existen exploits públicos.
Se han publicado las versiones 7.0.1-1
y 6.9.3-10 que corrigen las vulnerabilidades. Dada la gravedad de los problemas
se recomienda la actualización inmediata de los sistemas afectados.
También se han publicado
contramedidas como que antes del envío de la imagen a Imagemagick verificar que
los archivos comienzan con los "bytes mágicos" correspondientes al
tipo de archivo correspondiente. Los "bytes mágicos" son los primeros
bytes de cada archivo que habitualmente se emplean para identificar el tipo de
archivo (por ej. Las imágenes jpeg comienzan con "FF D8"). Igualmente
se recomienda el uso de un archivo de políticas ("/etc/ImageMagick/policy.xm") para desactivar los codificadores
afectados.
Más información:
ImageMagick:
Multiple vulnerabilities in image decoder
ImageTragick
List of
file signatures
Command injection en ImageMagick: Actualiza todos tus
servers GNU/Linux o te podrían hackear con una imagen.
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario