Abo
  • Services:
Anzeige
Imagemagick prüft hochgeladene Bilder nicht richtig - ein Problem.
Imagemagick prüft hochgeladene Bilder nicht richtig - ein Problem. (Bild: Nikolay Ermishkin)

Imagetragick-Bug: Sicherheitslücke in Imagemagick bedroht viele Server

Imagemagick prüft hochgeladene Bilder nicht richtig - ein Problem.
Imagemagick prüft hochgeladene Bilder nicht richtig - ein Problem. (Bild: Nikolay Ermishkin)

Mit Bildern kann jetzt Code ausgeführt werden: Die Bildbearbeitungsbibliothek Imagemagick prüft Name, Inhalt und Typ von Bildern nur unzureichend - und macht die Software daher für Angriffe verwundbar. Die Sicherheitslücke soll bereits aktiv ausgenutzt werden, einen vollständigen Patch gibt es nicht.

Ein Fehler in der Imagemagick-Bibliothek ermöglicht es Angreifern unter bestimmten Bedingungen, Bilder auf einen Server hochzuladen und damit Code auszuführen. Imagemagick ist eine Bibliothek, die von PHP, Ruby, NodeJS Python und weiteren Sprachen untersützt wird und automatische Bildbearbeitungen auf einem Server vornehmen kann, etwa die Skalierung auf die richtige Größe. Ein Exploit der Lücke ist trivial.

Anzeige

Der Sicherheitsforscher Nikolay Ermishkin hat die Lücke gefunden und mit dem Namen Imagetragick bezeichnet. Problematisch ist, dass die Dateinamen der hochgeladenen Dateien nicht auf Shellcode geprüft und bei Bedarf davon gereinigt werden. Weil Imagemagick außerdem die Bearbeitung hochgeladener Dateien mit externen Bibliotheken ermöglicht, können über diesen Weg Shell-Kommandos injiziert werden. Verwundbar dürften vor allem Seiten sein, die unvertrauten Nutzern das Hochladen von Bildern ermöglichen, also zum Beispiel soziale Netzwerke, Foren und ähnliche Angebote.

Mehr als 200 Bildformate unterstützt

Weiterhin problematisch ist, dass Imagemagick über 200 Bildformate unterstützt, von denen einige wiederum die Einbettung von Code ermöglichen. Auch hier könne über die verknüpften externen Bibliotheken Code ausgeführt werden. Ein weiterer Exploit kann gelingen, weil Imagemagick die Dateitypen nicht ausreichend prüft. Das Programm versuche, den Dateityp zu erraten, indem es den Content anschaut, heißt es in der Fehlermeldung. Kann das Format nicht erkannt werden, entpackt Imagemagick die Datei in eine temporäre Datei. Auch auf diesem Weg könnten Angreifer Manipulationen auf dem Server vornehmen, etwa bestehende Bilder löschen lassen.

Einen Patch, der alle Probleme behebt, gibt es bislang nicht. Einige der beschriebene Probleme sollen mit dem Update auf die aktuellste Version behoben sein, der Entdecker schlägt aber trotzdem folgende Sicherheitsmaßnahmen vor: Zunächst sollte die Prüfung der sogenannten Magic Bytes aller hochgeladenen Bilder aktiviert werden. Magic Bytes sind Dateisignaturen am Anfang einer Datei, die den Dateityp beschreiben. Außerdem gibt es eine detaillierte Beschreibung, welche Änderungen in den Policy-Dokumenten durchgeführt werden müssen.

Administratoren, die derzeit Imagemagick einsetzen, aber nicht die Unterstützung für alle 200 Dateitypen brauchen, können unter Umständen auf Graphicsmagick zurückgreifen. Das Programm ist ein Fork und unterstützt eine deutlich geringere Zahl von Dateitypen und könnte somit helfen, den Angriffsvektor zu verkleinern.


eye home zur Startseite
xUser 06. Mai 2016

Doch, weil diese Formate komplexer sind und sich nicht über ein simples Pattern-Matching...

FreiGeistler 04. Mai 2016

Jetzt stell dir mal vor jeder könnte aus dem Web ohne Einschränkungen direkt auf deine...

PMedia 04. Mai 2016

MediaWiki kann soweit ich weiß imageMagick als Backend nutzen. Ich persönlich ziehe dann...

Sammie 04. Mai 2016

Ja indem du eben im Script deine File-Uploads prüfst.. klassisch mit fread, oder anderen...

dakira 04. Mai 2016

Die Datei muss von imagemagick geöffnet werden.



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. über Dr. Heimeier & Partner, Management- und Personalberatung GmbH, Stuttgart
  3. MOMENI Gruppe, Hamburg
  4. ESG Elektroniksystem- und Logistik-GmbH, Wolfsburg


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. (u. a. Game of Thrones, Big Bang Theory, The Vampire Diaries, Supernatural)

Folgen Sie uns
       


  1. Sipgate

    App Satellite hat Probleme mit dem Vodafone-Netz

  2. AMDs Embedded-Pläne

    Ein bisschen Wunschdenken, ein bisschen Wirklichkeit

  3. K-1 Mark II

    Pentax bietet Sensorwechsel für seine Vollformat-DSLR an

  4. Ohrhörer

    Neue Airpods sollen Hey Siri unterstützen

  5. Amazon Go

    Sechs weitere kassenlose Supermärkte geplant

  6. Elektromobilität

    UPS arbeitet an elektrischem Lieferwagen

  7. VBB Fahrcard

    E-Ticket-Kontrolle am Prüfgerät wird in Berlin zur Pflicht

  8. Glasfaser

    M-net schließt weitere 75.000 Haushalte an

  9. Pwned Passwords

    Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes

  10. Smach Z

    PC-Handheld nutzt Ryzen V1000



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. EU-Urheberrechtsreform Kompromissvorschlag hält an Uploadfiltern fest
  2. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  3. Fake News Murdoch fordert von Facebook Sendegebühr für Medien

Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

  1. Re: Ruggedized-Smartphone in "handlich"

    M.P. | 09:29

  2. Re: und lidl & co. bekommen nix auf die kette

    martinalex | 09:29

  3. Re: Daumen hoch Pentax

    ronlol | 09:28

  4. Re: Pressemitteilung nur bei mir kaputt?

    charlemagne | 09:27

  5. Re: Das ist ein Scam

    Dwalinn | 09:27


  1. 09:23

  2. 08:40

  3. 08:02

  4. 07:46

  5. 07:38

  6. 07:17

  7. 18:21

  8. 18:09


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel