画像処理ツール「ImageMagick」に脆弱性。サイボウズ製品に影響か。

画像処理ツール「ImageMagick」に脆弱性が見つかっております。この問題には「ImageTragick」という名がつけられております。

 

脆弱性情報

  • 不適切な入力検査

 

発見されたシステム・バージョン

  • ImageMagick 6.9.3-10 より前のバージョン
  • ImageMagick 7.0.1-1 より前のバージョン

 

想定される影響

第三者によって「ImageMagick」を実行するユーザの権限で任意のコードを実行される可能性があります。

 

対応方法

開発者情報を元に、対策版であるバージョン6.9.3-10 および 7.0.1-1以降へアップデートしてください。

その他、以下の対策を実施してください。

①ImageMagick による画像ファイルの処理を行う前に、その画像ファイル先頭の “magic bytes” が適切な値であることを確認する

 

②ImageMagick のポリシーファイルにおいて、脆弱な coder を無効化する

 

ある研究者によれば、すでに攻撃キットに本脆弱性を悪用するコードが実装されており、攻撃を仕掛けている事例を確認しているとのことですから、早めの対策を推奨します。

 

 

 

また本脆弱性の影響を受けるサービスがありますので記載します。

サイボウズ製品・サービスへの影響

imagemagickライブラリの脆弱性(CVE-2016-3714)について(2016/5/26)

 

同社によればパッケージ製品である「サイボウズ Office」、「メールワイズ」が影響を受けるため対処が必要のようです。

対応方法

以下のバージョンへアップデートしてください。

  • サイボウズ Office 9.3.3
  • サイボウズ Office 10.2 以上
  • メールワイズ 5.3.0 以上

 

本製品をご利用の方で上記のバージョンに該当しない製品をご利用の方は、早急にアップデートすることをお勧めします。

 

本脆弱性に関する詳細情報はウェブサイト ImageTragickをご参照くださいませ。

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています

2022年8月24日

Movable TypeのXMLRPC APIにコマンドインジェクションの脆弱性

2021年12月13日

Java用のログ出力ライブラリ「Log4j」にリモートコード実行の脆弱性

2021年12月2日

Movable TypeのXMLRPC APIにOSコマンドインジェクションの脆弱性