Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/05/2016
Millones de sitios comprometidos por vulnerabilidades en ImageMagick
Se han anunciado cinco vulnerabilidades críticas en la herramienta de tratamiento de imágenes ImageMagick, utilizada por millones de sitios web.ImageMagick es un conjunto de herramientas de código abierto para la manipulación de imágenes, y que es utilizado por muchas aplicaciones web ampliamente extendidas.
Los problemas se han identificado como ImageTragick, y residen en un filtrado incorrecto de los nombres de archivo y rutas que se pasan a los comandos shell que realizan finalmente las tareas de transformación de las imágenes.
El primer problema reside en un filtrado inadecuado de caracteres que podría permitir ejecución remota de código durante la conversión de formatos de archivo. Otros tres son tratamientos incorrectos de archivos que podrían permitir borrar, mover o leer ficheros arbitrarios del sistema afectado. El último de ellos es una vulnerabilidad de tipo Server Side Request Forgery (SSRF) que podría permitir al atacante realizar peticiones HTTP y FTP arbitrarias.
Sistemas Afectados:ImageMagick versiones anteriores a 7.0.1-1 y 6.9.3-10, así como cualquier aplicación que utilice ImageMagick.
Referencias:CVE-2016-3714, CVE-2016-3715, CVE-2016-3716, CVE-2016-3717, CVE-2016-3718
Solución:Actualizar a las versiones 7.0.1-1 y 6.9.3-10, que corrigen estas vulnerabilidades. También se han publicado contramedidas para evitar estos problemas.
Notas: