2016-0896: ImageMagick: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2016-06-02 19:49)
- Neues Advisory
Betroffene Software
Office
Systemsoftware
Betroffene Plattformen
Linux
Beschreibung:
In ImageMagick existieren mehrere Schwachstellen aufgrund der Möglichkeit, bestimmte Prozessschritte bei der Verarbeitung von Bildern durch externe Programme und Bibliotheken ausführen zu lassen. Diese Funktionalität ist als 'Delegates' bekannt und über die Dateien 'delegates.xml' und 'policy.xml' konfigurierbar. Im Falle der Schwachstelle CVE-2016-5118 ist allerdings sogar die zentrale Funktion zum Öffnen von Dateien betroffen, weshalb diese Schwachstelle als besonders kritisch anzusehen ist. Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell präparierter Bilddateien beliebigen Programmcode ausführen, beliebige Dateien lesen, verschieben oder löschen und den betroffenen Server für Server-Side-Request-Forgery-Angriffe nutzen.
Aufgrund der relativ einfachen Ausnutzbarkeit ist davon auszugehen, dass bereits Exploits für diese Schwachstellen existieren. Canonical stellt für die Distributionen Ubuntu 16.04 LTS, Ubuntu 15.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS Sicherheitsupdates bereit.
Schwachstellen:
CVE-2016-3714
Schwachstelle in ImageMagick ermöglicht Ausführung beliebigen ProgrammcodesCVE-2016-3715
Schwachstelle in ImageMagick ermöglicht Löschen von DateienCVE-2016-3716
Schwachstelle in ImageMagick / GraphicsMagick ermöglicht Verschieben von DateienCVE-2016-3717
Schwachstelle in ImageMagick / GraphicsMagick ermöglicht Ausspähen von InformationenCVE-2016-3718
Schwachstelle in ImageMagick / GraphicsMagick ermöglicht Server-Side-Request-Forgery-AngriffCVE-2016-5118
Schwachstelle in GraphicsMagick / ImageMagick ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.