- 2016年5月27日
- その他脆弱性情報
画像処理ツール「ImageMagick」に脆弱性。サイボウズ製品に影響か。
画像処理ツール「ImageMagick」に脆弱性が見つかっております。この問題には「ImageTragick」という名がつけられております。
脆弱性情報
-
不適切な入力検査
発見されたシステム・バージョン
- ImageMagick 6.9.3-10 より前のバージョン
- ImageMagick 7.0.1-1 より前のバージョン
想定される影響
第三者によって「ImageMagick」を実行するユーザの権限で任意のコードを実行される可能性があります。
対応方法
開発者情報を元に、対策版であるバージョン6.9.3-10 および 7.0.1-1以降へアップデートしてください。
その他、以下の対策を実施してください。
①ImageMagick による画像ファイルの処理を行う前に、その画像ファイル先頭の “magic bytes” が適切な値であることを確認する
②ImageMagick のポリシーファイルにおいて、脆弱な coder を無効化する
ある研究者によれば、すでに攻撃キットに本脆弱性を悪用するコードが実装されており、攻撃を仕掛けている事例を確認しているとのことですから、早めの対策を推奨します。
また本脆弱性の影響を受けるサービスがありますので記載します。
サイボウズ製品・サービスへの影響
imagemagickライブラリの脆弱性(CVE-2016-3714)について(2016/5/26)
同社によればパッケージ製品である「サイボウズ Office」、「メールワイズ」が影響を受けるため対処が必要のようです。
対応方法
以下のバージョンへアップデートしてください。
- サイボウズ Office 9.3.3
- サイボウズ Office 10.2 以上
- メールワイズ 5.3.0 以上
本製品をご利用の方で上記のバージョンに該当しない製品をご利用の方は、早急にアップデートすることをお勧めします。
本脆弱性に関する詳細情報はウェブサイト ImageTragickをご参照くださいませ。