Abo
  • Services:

Imagetragick-Bug: Sicherheitslücke in Imagemagick bedroht viele Server

Mit Bildern kann jetzt Code ausgeführt werden: Die Bildbearbeitungsbibliothek Imagemagick prüft Name, Inhalt und Typ von Bildern nur unzureichend - und macht die Software daher für Angriffe verwundbar. Die Sicherheitslücke soll bereits aktiv ausgenutzt werden, einen vollständigen Patch gibt es nicht.

Artikel veröffentlicht am ,
Imagemagick prüft hochgeladene Bilder nicht richtig - ein Problem.
Imagemagick prüft hochgeladene Bilder nicht richtig - ein Problem. (Bild: Nikolay Ermishkin)

Ein Fehler in der Imagemagick-Bibliothek ermöglicht es Angreifern unter bestimmten Bedingungen, Bilder auf einen Server hochzuladen und damit Code auszuführen. Imagemagick ist eine Bibliothek, die von PHP, Ruby, NodeJS Python und weiteren Sprachen untersützt wird und automatische Bildbearbeitungen auf einem Server vornehmen kann, etwa die Skalierung auf die richtige Größe. Ein Exploit der Lücke ist trivial.

Stellenmarkt
  1. McFIT GMBH, Berlin
  2. Melitta Professional Coffee Solutions GmbH & Co. KG, Minden

Der Sicherheitsforscher Nikolay Ermishkin hat die Lücke gefunden und mit dem Namen Imagetragick bezeichnet. Problematisch ist, dass die Dateinamen der hochgeladenen Dateien nicht auf Shellcode geprüft und bei Bedarf davon gereinigt werden. Weil Imagemagick außerdem die Bearbeitung hochgeladener Dateien mit externen Bibliotheken ermöglicht, können über diesen Weg Shell-Kommandos injiziert werden. Verwundbar dürften vor allem Seiten sein, die unvertrauten Nutzern das Hochladen von Bildern ermöglichen, also zum Beispiel soziale Netzwerke, Foren und ähnliche Angebote.

Mehr als 200 Bildformate unterstützt

Weiterhin problematisch ist, dass Imagemagick über 200 Bildformate unterstützt, von denen einige wiederum die Einbettung von Code ermöglichen. Auch hier könne über die verknüpften externen Bibliotheken Code ausgeführt werden. Ein weiterer Exploit kann gelingen, weil Imagemagick die Dateitypen nicht ausreichend prüft. Das Programm versuche, den Dateityp zu erraten, indem es den Content anschaut, heißt es in der Fehlermeldung. Kann das Format nicht erkannt werden, entpackt Imagemagick die Datei in eine temporäre Datei. Auch auf diesem Weg könnten Angreifer Manipulationen auf dem Server vornehmen, etwa bestehende Bilder löschen lassen.

Einen Patch, der alle Probleme behebt, gibt es bislang nicht. Einige der beschriebene Probleme sollen mit dem Update auf die aktuellste Version behoben sein, der Entdecker schlägt aber trotzdem folgende Sicherheitsmaßnahmen vor: Zunächst sollte die Prüfung der sogenannten Magic Bytes aller hochgeladenen Bilder aktiviert werden. Magic Bytes sind Dateisignaturen am Anfang einer Datei, die den Dateityp beschreiben. Außerdem gibt es eine detaillierte Beschreibung, welche Änderungen in den Policy-Dokumenten durchgeführt werden müssen.

Administratoren, die derzeit Imagemagick einsetzen, aber nicht die Unterstützung für alle 200 Dateitypen brauchen, können unter Umständen auf Graphicsmagick zurückgreifen. Das Programm ist ein Fork und unterstützt eine deutlich geringere Zahl von Dateitypen und könnte somit helfen, den Angriffsvektor zu verkleinern.



Anzeige
Blu-ray-Angebote

xUser 06. Mai 2016

Doch, weil diese Formate komplexer sind und sich nicht über ein simples Pattern-Matching...

FreiGeistler 04. Mai 2016

Jetzt stell dir mal vor jeder könnte aus dem Web ohne Einschränkungen direkt auf deine...

PMedia 04. Mai 2016

MediaWiki kann soweit ich weiß imageMagick als Backend nutzen. Ich persönlich ziehe dann...

Sammie 04. Mai 2016

Ja indem du eben im Script deine File-Uploads prüfst.. klassisch mit fread, oder anderen...

dakira 04. Mai 2016

Die Datei muss von imagemagick geöffnet werden.


Folgen Sie uns
       


Dark Rock Pro TR4 - Test

Der Dark Rock Pro TR4 von Be quiet ist einer der wenigen Luftkühler für AMDs Threadripper-Prozessoren. Im Test schneidet er sehr gut ab, da die Leistung hoch und die Lautheit niedrig ausfällt. Bei der Montage und der RAM-Kompatibilität gibt es leichte Abzüge, dafür ist der schwarze Look einzigartig.

Dark Rock Pro TR4 - Test Video aufrufen
Amazons Echo Show (2018) im Test: Auf keinem anderen Echo-Gerät macht Alexa so viel Freude
Amazons Echo Show (2018) im Test
Auf keinem anderen Echo-Gerät macht Alexa so viel Freude

Die zweite Generation des Echo Show ist da. Amazon hat viele Kritikpunkte am ersten Modell beseitigt. Der Neuling hat ein größeres Display als das Vorgängermodell und das sorgt für mehr Freude bei der Benutzung. Trotz vieler Verbesserungen ist nicht alles daran perfekt.
Ein Test von Ingo Pakalski

  1. Update für Alexa-Display im Hands on Browser macht den Echo Show viel nützlicher
  2. Amazon Echo Show mit Browser, Skype und großem Display

Job-Porträt Cyber-Detektiv: Ich musste als Ermittler über 1.000 Onanie-Videos schauen
Job-Porträt Cyber-Detektiv
"Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

Online-Detektive müssen permanent löschen, wo unvorsichtige Internetnutzer einen digitalen Flächenbrand gelegt haben. Mathias Kindt-Hopffer hat Golem.de von seinem Berufsalltag erzählt.
Von Maja Hoock

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
  3. IT-Jobs "Jedes Unternehmen kann es besser machen"

Serverless Computing: Mehr Zeit für den Code
Serverless Computing
Mehr Zeit für den Code

Weniger Verwaltungsaufwand und mehr Automatisierung: Viele Entwickler bauen auf fertige Komponenten aus der Cloud, um die eigenen Anwendungen aufzubauen. Beim Serverless Computing verschwinden die benötigten Server unter einer dicken Abstraktionsschicht, was mehr Zeit für den eigenen Code lässt.
Von Valentin Höbel

  1. Kubernetes Cloud Discovery inventarisiert vergessene Cloud-Native-Apps
  2. T-Systems Deutsche Telekom will Cloud-Firmen kaufen
  3. Trotz hoher Gewinne Wieder Stellenabbau bei Microsoft

    •  /