Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/05/2016
Milions de llocs compromesos per vulnerabilitats en ImageMagick
S’han anunciat cinc vulnerabilitats crítiques en l'eina de tractament d’imatges ImageMagick, utilitzada per milions de llocs web.ImageMagick és un conjunt d'eines de codi obert per a la manipulació d’imatges, i que és utilitzat per moltes aplicacions web àmpliament esteses.
Els problemes s’han identificat com ImageTragick, i resideixen en un filtrat incorrecte dels noms d’arxiu i rutes que es passen als comandaments shell que realitzen finalment les tasques de transformació de les imatges.
El primer problema resideix en un filtrat inadequat de caràcters que podria permetre execució remota de codi durant la conversió de formats d’arxiu. Altres tres són tractaments incorrectes d’arxius que podrien permetre esborrar, moure o llegir fitxers arbitraris del sistema afectat. L’últim d’ells és una vulnerabilitat de tipus Server Side Request Forgery (SSRF) que podria permetre a l’atacant realitzar peticions HTTP i FTP arbitràries.
Sistemes Afectats:ImageMagick versions anteriors a 7.0.1-1 i 6.9.3-10, així com qualsevol aplicació que utilitze ImageMagick.
Referències:CVE-2016-3714, CVE-2016-3715, CVE-2016-3716, CVE-2016-3717, CVE-2016-3718
Solució:Actualitzar a les versions 7.0.1-1 i 6.9.3-10, que corregeixen aquestes vulnerabilitats. També s’han publicat contramesures per a evitar aquests problemes.
Notes: