Abo
  • Services:

Imagetragick-Bug: Sicherheitslücke in Imagemagick bedroht viele Server

Mit Bildern kann jetzt Code ausgeführt werden: Die Bildbearbeitungsbibliothek Imagemagick prüft Name, Inhalt und Typ von Bildern nur unzureichend - und macht die Software daher für Angriffe verwundbar. Die Sicherheitslücke soll bereits aktiv ausgenutzt werden, einen vollständigen Patch gibt es nicht.

Artikel veröffentlicht am ,
Imagemagick prüft hochgeladene Bilder nicht richtig - ein Problem.
Imagemagick prüft hochgeladene Bilder nicht richtig - ein Problem. (Bild: Nikolay Ermishkin)

Ein Fehler in der Imagemagick-Bibliothek ermöglicht es Angreifern unter bestimmten Bedingungen, Bilder auf einen Server hochzuladen und damit Code auszuführen. Imagemagick ist eine Bibliothek, die von PHP, Ruby, NodeJS Python und weiteren Sprachen untersützt wird und automatische Bildbearbeitungen auf einem Server vornehmen kann, etwa die Skalierung auf die richtige Größe. Ein Exploit der Lücke ist trivial.

Stellenmarkt
  1. BWI GmbH, deutschlandweit
  2. abilex GmbH, Stuttgart, Hechingen

Der Sicherheitsforscher Nikolay Ermishkin hat die Lücke gefunden und mit dem Namen Imagetragick bezeichnet. Problematisch ist, dass die Dateinamen der hochgeladenen Dateien nicht auf Shellcode geprüft und bei Bedarf davon gereinigt werden. Weil Imagemagick außerdem die Bearbeitung hochgeladener Dateien mit externen Bibliotheken ermöglicht, können über diesen Weg Shell-Kommandos injiziert werden. Verwundbar dürften vor allem Seiten sein, die unvertrauten Nutzern das Hochladen von Bildern ermöglichen, also zum Beispiel soziale Netzwerke, Foren und ähnliche Angebote.

Mehr als 200 Bildformate unterstützt

Weiterhin problematisch ist, dass Imagemagick über 200 Bildformate unterstützt, von denen einige wiederum die Einbettung von Code ermöglichen. Auch hier könne über die verknüpften externen Bibliotheken Code ausgeführt werden. Ein weiterer Exploit kann gelingen, weil Imagemagick die Dateitypen nicht ausreichend prüft. Das Programm versuche, den Dateityp zu erraten, indem es den Content anschaut, heißt es in der Fehlermeldung. Kann das Format nicht erkannt werden, entpackt Imagemagick die Datei in eine temporäre Datei. Auch auf diesem Weg könnten Angreifer Manipulationen auf dem Server vornehmen, etwa bestehende Bilder löschen lassen.

Einen Patch, der alle Probleme behebt, gibt es bislang nicht. Einige der beschriebene Probleme sollen mit dem Update auf die aktuellste Version behoben sein, der Entdecker schlägt aber trotzdem folgende Sicherheitsmaßnahmen vor: Zunächst sollte die Prüfung der sogenannten Magic Bytes aller hochgeladenen Bilder aktiviert werden. Magic Bytes sind Dateisignaturen am Anfang einer Datei, die den Dateityp beschreiben. Außerdem gibt es eine detaillierte Beschreibung, welche Änderungen in den Policy-Dokumenten durchgeführt werden müssen.

Administratoren, die derzeit Imagemagick einsetzen, aber nicht die Unterstützung für alle 200 Dateitypen brauchen, können unter Umständen auf Graphicsmagick zurückgreifen. Das Programm ist ein Fork und unterstützt eine deutlich geringere Zahl von Dateitypen und könnte somit helfen, den Angriffsvektor zu verkleinern.



Anzeige
Hardware-Angebote
  1. ab 399€
  2. 59,79€ inkl. Rabatt
  3. (reduzierte Überstände, Restposten & Co.)

xUser 06. Mai 2016

Doch, weil diese Formate komplexer sind und sich nicht über ein simples Pattern-Matching...

FreiGeistler 04. Mai 2016

Jetzt stell dir mal vor jeder könnte aus dem Web ohne Einschränkungen direkt auf deine...

PMedia 04. Mai 2016

MediaWiki kann soweit ich weiß imageMagick als Backend nutzen. Ich persönlich ziehe dann...

Sammie 04. Mai 2016

Ja indem du eben im Script deine File-Uploads prüfst.. klassisch mit fread, oder anderen...

dakira 04. Mai 2016

Die Datei muss von imagemagick geöffnet werden.


Folgen Sie uns
       


Chuwi Higame im Test

Auf Indiegogo hat das Chuwi Higame bereits mehr als 400.000 US-Dollar erhalten. Der Mini-PC hat dank Kaby Lake G auch das Potenzial zu einem kleinen Multimediawürfel. Allerdings nerven die Lautstärke und ein paar Treiberprobleme.

Chuwi Higame im Test Video aufrufen
Amazon Alexa: Echo Sub verhilft Echo-Lautsprechern zu mehr Bass
Amazon Alexa
Echo Sub verhilft Echo-Lautsprechern zu mehr Bass

Amazon hat einen Subwoofer speziell für Echo-Lautsprecher vorgestellt. Damit sollen die eher bassarmen Lautsprecher mit einem ordentlichen Tiefbass ausgestattet werden. Zudem öffnet Amazon seine Multiroom-Musikfunktion für Alexa-Lautsprecher anderer Hersteller.

  1. Beosound 2 Bang & Olufsen bringt smarten Lautsprecher für 2.000 Euro
  2. Google und Amazon Markt für smarte Lautsprecher wächst weiter stark
  3. Alexa-Soundbars im Test Sonos' Beam und Polks Command Bar sind die Klangreferenz

Segelflug: Die Höhenflieger
Segelflug
Die Höhenflieger

In einem Experimental-Segelflugzeug von Airbus wollen Flugenthusiasten auf gigantischen Luftwirbeln am Rande der Antarktis fast 30 Kilometer hoch aufsteigen - ganz ohne Motor. An Bord sind Messinstrumente, die neue und unverfälschte Daten für die Klimaforschung liefern.
Ein Bericht von Daniel Hautmann

  1. Luftfahrt Nasa testet leise Überschallflüge
  2. Low-Boom Flight Demonstrator Lockheed baut leises Überschallflugzeug
  3. Elektroflieger Norwegen will elektrisch fliegen

iPhone Xs, Xs Max und Xr: Wer unterstützt die eSIM in den neuen iPhones?
iPhone Xs, Xs Max und Xr
Wer unterstützt die eSIM in den neuen iPhones?

Apples neue iPhones haben neben dem Nano-SIM-Slot eine eingebaute eSIM, womit der Konzern erstmals eine Dual-SIM-Lösung in seinen Smartphones realisiert. Die Auswahl an Netzanbietern, die eSIMs unterstützen, ist in Deutschland, Österreich und der Schweiz aber eingeschränkt - ein Überblick.
Von Tobias Költzsch

  1. Apple Das iPhone Xr macht's billiger und bunter
  2. Apple iPhones sollen Stiftunterstützung erhalten
  3. XMM 7560 Intel startet Serienfertigung für iPhone-Modem

    •  /