Las vulnerabilidades reveladas el martes que afectan a ImageMagick, un paquete de software de código abierto ampliamente utilizado para la manipulación de imágenes, pertenecen a una amplia variedad de usuarios debido a la gran cantidad de proyectos que dependen de la biblioteca ImageMagick. En particular, phpBB, vBulletin, MediaWiki y Joomla utilizan ImageMagick de forma predeterminada, mientras que otros programas como WordPress y Drupal pueden utilizar la biblioteca como un complemento o pueden habilitarse de forma predeterminada en un script de instalación de terceros o en una implementación de VM. imagen.
La colección de vulnerabilidades se denomina colectivamente «ImageTragick», que en sí mismo es un nuevo mínimo en la reciente plaga de vulnerabilidades de seguridad con nombres innecesarios.
La vulnerabilidad principal, diseñada como CVE-2016-3714, crea el potencial para la ejecución remota de código, ya que ImageMagick no desinfecta adecuadamente los caracteres especiales de la entrada del usuario. En los casos en que un archivo se pasa a ImageMagick, como un archivo PDF, Microsoft Office u OpenDocument, el archivo se entrega a una biblioteca externa con las opciones de línea de comandos adecuadas para el procesamiento, denominadas «delegados» en ImageMagick. Según la descripción de Karim Valiev en Openwall:
Se implementa como un sistema () con una cadena de comando (‘comando’) del archivo de configuración delegados.xml con valor real para diferentes parámetros (nombres de archivo de entrada/salida, etc.). Debido a un filtrado de parámetros %M insuficiente, es posible realizar la inyección de comandos de shell. Uno de los comandos del delegado predeterminado se usa para manejar las solicitudes https:
«wget» -q -O «%o» «https:%M»
donde %M es el enlace real de la entrada. Es posible pasar el
valor comohttps://example.com"|ls "-la
y ejecute inesperado ‘ls
-la’. (wget o curl deben estar instalados)$ convert ‘https://example.com»|ls «-la’ out.png
32 totales
drwxr-xr-x 6 grupo de usuarios 204 29 de abril 23:08 .
drwxr-xr-x+ 232 grupo de usuarios 7888 30 de abril 10:37 ..
Además, según Valiev, la compatibilidad con formatos de secuencias de comandos de imágenes vectoriales como SVG o MVG, que permiten incluir archivos externos de cualquier tipo admitido, incluidos los que manejan los delegados, permite explotar esta vulnerabilidad mediante el uso de archivos de imagen específicamente diseñados con malware. instrucciones. Las comprobaciones de tipo de archivo se pueden omitir cambiando el nombre de un archivo SVG o MVG a JPG o PNG, ya que ImageMagick identifica los archivos por contenido, no por extensión. Como tal, rechazar ciertos tipos de archivos en un formulario de carga no protegería contra esta vulnerabilidad.
Otras vulnerabilidades de ImageMagick en esta divulgación incluyen errores que permiten a los usuarios finales iniciar transacciones HTTP o FTP arbitrarias, eliminar o mover archivos en el servidor y leer archivos arbitrarios en el servidor. Se espera un parche el fin de semana del 7 de mayo de 2016 para las versiones 6.x y 7.x de ImageMagick, aunque las implementaciones actuales pueden mitigar el riesgo al garantizar que las extensiones de archivo se correspondan correctamente con sus bytes mágicos y que los delegados vulnerables estén deshabilitados. .