ImageMagick erlaubt Remote Execution

Die Entwickler der Bildverarbeitungsbibliothek ImageMagick weisen auf Bugs in ihrer Software hin, die unter Umständen die Ausführung von Code auf Servern ermöglicht. Die Bugs stecken in einigen der sogenannten "Coders", die jeweils zuständig für ein bestimmtes Bild- oder Medienformat sind. Problematisch ist dies, weil ImageMagick auf vielen Webservern verwendet wird, die etwa Bilder nach dem Hochladen verarbeiten. Diverse Programmierbibliotheken wie PHP-Imagick, Ruby-Rmagick und Paperclip greifen auf ImageMagick zurück. Dabei versucht  ImageMagick, ein Medienformat zu erkennen und darauf basierenden den passenden Coder zu verwenden. Manipulieren Angreifer Dateien passend, können Sie die Sicherheitslücken in den Codern ausnutzen.

Die ImageMagick-Entwickler haben das Problem in den Versionen 7.0.1-1 und 6.9.3-10 behoben. Als Workaround können Administratoren ein sogenanntes Policy-File anlegen, das die Verwendung der Coder regelt. Die folgenden Zeilen deaktivieren die problematischen Coder:

<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />