画像処理ツール「ImageMagick」に脆弱性。サイボウズ製品に影響か。

画像処理ツール「ImageMagick」に脆弱性が見つかっております。この問題には「ImageTragick」という名がつけられております。

 

脆弱性情報

  • 不適切な入力検査

 

発見されたシステム・バージョン

  • ImageMagick 6.9.3-10 より前のバージョン
  • ImageMagick 7.0.1-1 より前のバージョン

 

想定される影響

第三者によって「ImageMagick」を実行するユーザの権限で任意のコードを実行される可能性があります。

 

対応方法

開発者情報を元に、対策版であるバージョン6.9.3-10 および 7.0.1-1以降へアップデートしてください。

その他、以下の対策を実施してください。

①ImageMagick による画像ファイルの処理を行う前に、その画像ファイル先頭の “magic bytes” が適切な値であることを確認する

 

②ImageMagick のポリシーファイルにおいて、脆弱な coder を無効化する

 

ある研究者によれば、すでに攻撃キットに本脆弱性を悪用するコードが実装されており、攻撃を仕掛けている事例を確認しているとのことですから、早めの対策を推奨します。

 

 

 

また本脆弱性の影響を受けるサービスがありますので記載します。

サイボウズ製品・サービスへの影響

imagemagickライブラリの脆弱性(CVE-2016-3714)について(2016/5/26)

 

同社によればパッケージ製品である「サイボウズ Office」、「メールワイズ」が影響を受けるため対処が必要のようです。

対応方法

以下のバージョンへアップデートしてください。

  • サイボウズ Office 9.3.3
  • サイボウズ Office 10.2 以上
  • メールワイズ 5.3.0 以上

 

本製品をご利用の方で上記のバージョンに該当しない製品をご利用の方は、早急にアップデートすることをお勧めします。

 

本脆弱性に関する詳細情報はウェブサイト ImageTragickをご参照くださいませ。

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています