Abo
  • Services:
Anzeige
Imagemagick prüft hochgeladene Bilder nicht richtig - ein Problem.
Imagemagick prüft hochgeladene Bilder nicht richtig - ein Problem. (Bild: Nikolay Ermishkin)

Imagetragick-Bug: Sicherheitslücke in Imagemagick bedroht viele Server

Imagemagick prüft hochgeladene Bilder nicht richtig - ein Problem.
Imagemagick prüft hochgeladene Bilder nicht richtig - ein Problem. (Bild: Nikolay Ermishkin)

Mit Bildern kann jetzt Code ausgeführt werden: Die Bildbearbeitungsbibliothek Imagemagick prüft Name, Inhalt und Typ von Bildern nur unzureichend - und macht die Software daher für Angriffe verwundbar. Die Sicherheitslücke soll bereits aktiv ausgenutzt werden, einen vollständigen Patch gibt es nicht.

Ein Fehler in der Imagemagick-Bibliothek ermöglicht es Angreifern unter bestimmten Bedingungen, Bilder auf einen Server hochzuladen und damit Code auszuführen. Imagemagick ist eine Bibliothek, die von PHP, Ruby, NodeJS Python und weiteren Sprachen untersützt wird und automatische Bildbearbeitungen auf einem Server vornehmen kann, etwa die Skalierung auf die richtige Größe. Ein Exploit der Lücke ist trivial.

Anzeige

Der Sicherheitsforscher Nikolay Ermishkin hat die Lücke gefunden und mit dem Namen Imagetragick bezeichnet. Problematisch ist, dass die Dateinamen der hochgeladenen Dateien nicht auf Shellcode geprüft und bei Bedarf davon gereinigt werden. Weil Imagemagick außerdem die Bearbeitung hochgeladener Dateien mit externen Bibliotheken ermöglicht, können über diesen Weg Shell-Kommandos injiziert werden. Verwundbar dürften vor allem Seiten sein, die unvertrauten Nutzern das Hochladen von Bildern ermöglichen, also zum Beispiel soziale Netzwerke, Foren und ähnliche Angebote.

Mehr als 200 Bildformate unterstützt

Weiterhin problematisch ist, dass Imagemagick über 200 Bildformate unterstützt, von denen einige wiederum die Einbettung von Code ermöglichen. Auch hier könne über die verknüpften externen Bibliotheken Code ausgeführt werden. Ein weiterer Exploit kann gelingen, weil Imagemagick die Dateitypen nicht ausreichend prüft. Das Programm versuche, den Dateityp zu erraten, indem es den Content anschaut, heißt es in der Fehlermeldung. Kann das Format nicht erkannt werden, entpackt Imagemagick die Datei in eine temporäre Datei. Auch auf diesem Weg könnten Angreifer Manipulationen auf dem Server vornehmen, etwa bestehende Bilder löschen lassen.

Einen Patch, der alle Probleme behebt, gibt es bislang nicht. Einige der beschriebene Probleme sollen mit dem Update auf die aktuellste Version behoben sein, der Entdecker schlägt aber trotzdem folgende Sicherheitsmaßnahmen vor: Zunächst sollte die Prüfung der sogenannten Magic Bytes aller hochgeladenen Bilder aktiviert werden. Magic Bytes sind Dateisignaturen am Anfang einer Datei, die den Dateityp beschreiben. Außerdem gibt es eine detaillierte Beschreibung, welche Änderungen in den Policy-Dokumenten durchgeführt werden müssen.

Administratoren, die derzeit Imagemagick einsetzen, aber nicht die Unterstützung für alle 200 Dateitypen brauchen, können unter Umständen auf Graphicsmagick zurückgreifen. Das Programm ist ein Fork und unterstützt eine deutlich geringere Zahl von Dateitypen und könnte somit helfen, den Angriffsvektor zu verkleinern.


eye home zur Startseite
xUser 06. Mai 2016

Doch, weil diese Formate komplexer sind und sich nicht über ein simples Pattern-Matching...

FreiGeistler 04. Mai 2016

Jetzt stell dir mal vor jeder könnte aus dem Web ohne Einschränkungen direkt auf deine...

PMedia 04. Mai 2016

MediaWiki kann soweit ich weiß imageMagick als Backend nutzen. Ich persönlich ziehe dann...

Sammie 04. Mai 2016

Ja indem du eben im Script deine File-Uploads prüfst.. klassisch mit fread, oder anderen...

dakira 04. Mai 2016

Die Datei muss von imagemagick geöffnet werden.



Anzeige

Stellenmarkt
  1. Jos. Schneider Optische Werke GmbH, Bad Kreuznach
  2. operational services GmbH & Co. KG, Wolfsburg
  3. MediaMarktSaturn Retail Concepts, München
  4. Pluradent AG & Co. KG, Offenbach


Anzeige
Blu-ray-Angebote
  1. 38,49€ (Vorbesteller-Preisgarantie)
  2. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  3. 9,97€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)

Folgen Sie uns
       


  1. Redstone 3

    "Hey Cortana, schalte meinen PC aus"

  2. Pro 7 und Pro 7 Plus

    Meizu präsentiert Smartphones mit rückseitigem Zusatzdisplay

  3. Mercedes-Benz

    "In einer perfekten Zukunft brauchen wir keine VR-Gehhilfen"

  4. Zehn Milliarden US-Dollar

    Apple-Zulieferer Foxconn plant Werk in den USA

  5. USA

    Ipad, Kindle und Nintendo Switch müssen ins Röntgengerät

  6. Radeon Software 17.7.2

    AMDs Grafiktreiber bringt massig Neuerungen

  7. Quartalsbericht

    Facebooks Belegschaft hat sich erheblich vergrößert

  8. Gigakombi

    Vodafone verbessert Datenpaket fürs Warten aufs Festnetz

  9. Datenrate

    O2 drosselt mobiles Internet wegen EU-Roamings

  10. Netgear Nighthawk X6S

    Triband-Router kann mit Sprache gesteuert werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Surface Laptop im Test: Microsofts Next Topmodel hat zu sehr abgespeckt
Surface Laptop im Test
Microsofts Next Topmodel hat zu sehr abgespeckt
  1. Microsoft Neues Surface Pro fährt sich ohne Grund selbst herunter
  2. iFixit-Teardown Surface Laptop ist fast nicht reparabel
  3. Surface Studio Microsofts Grafikerstation kommt nach Deutschland

Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

Quantengatter: Die Bauteile des Quantencomputers
Quantengatter
Die Bauteile des Quantencomputers
  1. Anwendungen für Quantencomputer Der Spuk in Ihrem Computer
  2. Quantencomputer Ein Forscher in den unergründlichen Weiten des Hilbertraums
  3. Quantenprogrammierung "Die physikalische Welt kann kreativer sein als wir selbst"

  1. Re: o2 ist doch wie McDonald's

    dr.house | 10:42

  2. Re: Im Großraumbüro...

    koki | 10:41

  3. Re: Dieser Jobtitel...

    Raistlin | 10:40

  4. Re: Oh man Liebes Deutschland

    devarni | 10:39

  5. Wie wäre es mit einem sprachbefehl...

    tommihommi1 | 10:39


  1. 10:26

  2. 10:14

  3. 08:56

  4. 07:23

  5. 07:13

  6. 23:00

  7. 22:41

  8. 19:35


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel