Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Imagetragick-Bug: Sicherheitslücke in Imagemagick bedroht viele Server

Mit Bildern kann jetzt Code ausgeführt werden: Die Bildbearbeitungsbibliothek Imagemagick prüft Name, Inhalt und Typ von Bildern nur unzureichend – und macht die Software daher für Angriffe verwundbar. Die Sicherheitslücke soll bereits aktiv ausgenutzt werden, einen vollständigen Patch gibt es nicht.
/ Hauke Gierow
25 Kommentare News folgen (öffnet im neuen Fenster)
Imagemagick prüft hochgeladene Bilder nicht richtig - ein Problem. (Bild: Nikolay Ermishkin)
Imagemagick prüft hochgeladene Bilder nicht richtig - ein Problem. Bild: Nikolay Ermishkin

Ein Fehler in der Imagemagick-Bibliothek ermöglicht es Angreifern unter bestimmten Bedingungen, Bilder auf einen Server hochzuladen und damit Code auszuführen. Imagemagick ist eine Bibliothek, die von PHP, Ruby, NodeJS Python und weiteren Sprachen untersützt wird und automatische Bildbearbeitungen auf einem Server vornehmen kann, etwa die Skalierung auf die richtige Größe. Ein Exploit der Lücke ist trivial.

Der Sicherheitsforscher Nikolay Ermishkin hat die Lücke gefunden und mit dem Namen Imagetragick bezeichnet(öffnet im neuen Fenster). Problematisch ist, dass die Dateinamen der hochgeladenen Dateien nicht auf Shellcode geprüft und bei Bedarf davon gereinigt werden. Weil Imagemagick außerdem die Bearbeitung hochgeladener Dateien mit externen Bibliotheken ermöglicht, können über diesen Weg Shell-Kommandos injiziert werden. Verwundbar dürften vor allem Seiten sein, die unvertrauten Nutzern das Hochladen von Bildern ermöglichen, also zum Beispiel soziale Netzwerke, Foren und ähnliche Angebote.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Mehr als 200 Bildformate unterstützt

Weiterhin problematisch ist, dass Imagemagick über 200 Bildformate unterstützt, von denen einige wiederum die Einbettung von Code ermöglichen. Auch hier könne über die verknüpften externen Bibliotheken Code ausgeführt werden. Ein weiterer Exploit kann gelingen, weil Imagemagick die Dateitypen nicht ausreichend prüft. Das Programm versuche, den Dateityp zu erraten, indem es den Content anschaut, heißt es in der Fehlermeldung. Kann das Format nicht erkannt werden, entpackt Imagemagick die Datei in eine temporäre Datei. Auch auf diesem Weg könnten Angreifer Manipulationen auf dem Server vornehmen, etwa bestehende Bilder löschen lassen.

Einen Patch, der alle Probleme behebt, gibt es bislang nicht. Einige der beschriebene Probleme sollen mit dem Update auf die aktuellste Version behoben sein, der Entdecker schlägt aber trotzdem folgende Sicherheitsmaßnahmen vor: Zunächst sollte die Prüfung der sogenannten Magic Bytes aller hochgeladenen Bilder aktiviert werden. Magic Bytes sind Dateisignaturen am Anfang einer Datei, die den Dateityp beschreiben. Außerdem gibt es eine detaillierte Beschreibung, welche Änderungen in den Policy-Dokumenten durchgeführt werden müssen(öffnet im neuen Fenster).

Administratoren, die derzeit Imagemagick einsetzen, aber nicht die Unterstützung für alle 200 Dateitypen brauchen, können unter Umständen auf Graphicsmagick(öffnet im neuen Fenster) zurückgreifen. Das Programm ist ein Fork und unterstützt eine deutlich geringere Zahl von Dateitypen und könnte somit helfen, den Angriffsvektor zu verkleinern.

Zur Startseite 25 Kommentare

Relevante Themen

SoftwareToolsUnternehmenssoftwareSecuritySicherheitslückeDatensicherheit