LAC WATCH

セキュリティとITの最新情報

RSS

ラックピープル | 

あなたのサーバ、ImageMagickの脆弱性対応しました?

画像処理アプリケーションのImageMagickの脆弱性が出ていますが、
みなさん対応しましたか?
Struts2の脆弱性騒ぎも冷めやらぬまま突入したゴールデンウィークでしたが、みなさんいかがお過ごしでしょうか。最近のバージョンではデフォルトでDMI機能が無効化されていることもあってか私の周りでは被害の話を聞きませんでした。ひやひやしましたが、平和なゴールデンウィークだったのではないでしょうか。

そんな中、ImageMagickという画像処理アプリケーションに脆弱性が発見されて話題になっています。最後の「k」を思わず忘れてしまいそうなつづりですね。
みなさん、すでに把握されていますか?
脆弱性に関する詳細は
ImageMagickの脆弱性(CVE-2016-3714他)についてまとめてみた - piyolog
ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起
ImageMagick Security Issue - ImageMagick
をご参照していただくのが一番です。余談ですが、piyologはセキュリティに関わる人であればみんな押さえておくべき重要なブログですので、忘れないようにしましょう!!

そして、ImageMagickですが、複数の脆弱性がまとめて公開されており、攻撃コードも公開されています。攻撃コードを仕込んだファイルをImageMagickに食わせることができれば攻撃は容易ですので、アップデートを必ず検討してください。想定されるシナリオとしては画像変換処理が動くようなウェブアプリを一般向けに公開しているサイトに対して、攻撃コードを含んだファイルを送りつけることが一番可能性が高いのではないかと思っています。その他、メールに含まれている画像を処理するサーバにImageMagickが使われている場合も影響を受けるかもしれません。

レンタルサーバ事業者ではImageMagickの脆弱性対応が行われている事業者もあります。一部の事業者では脆弱性対応が終わるまで、機能制限を実施するケースもあるようです。契約している事業者の「お知らせ」「サポートサイト」などにも注意が必要です。

GW明けでお仕事がたまっている時期かもしれませんが、ImageMagickの影響を受けそうな箇所の確認を忘れないようにしてください。

この記事は役に立ちましたか?

はい いいえ