結論
160516追記
公式に以下の情報が出ていました。
ImageMagick の脆弱性対策について (CVE-2016-3714)|さくらインターネット公式サポートサイト
→ 確認したところ、`/usr/local/etc/ImageMagick/policy.xml` に下記と同じ内容が追記されていましたので、以下の個別ユーザーごとの対応は不要となったと思われます。
公式に以下の情報が出ていました。
ImageMagick の脆弱性対策について (CVE-2016-3714)|さくらインターネット公式サポートサイト
→ 確認したところ、`/usr/local/etc/ImageMagick/policy.xml` に下記と同じ内容が追記されていましたので、以下の個別ユーザーごとの対応は不要となったと思われます。
~/.magick/ というディレクトリを作り、そこに policy.xml を置く1。
policy.xml
<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
<policy domain="coder" rights="none" pattern="TEXT" />
<policy domain="coder" rights="none" pattern="SHOW" />
<policy domain="coder" rights="none" pattern="WIN" />
<policy domain="coder" rights="none" pattern="PLT" />
</policymap>
補足
ImageMagick の設定ファイルの設置場所はドキュメントには下記のように記載されている2。
$MAGICK_CONFIGURE_PATH $PREFIX/etc/ImageMagick-7 $PREFIX/share/ImageMagick-7 $XDG_CACHE_HOME/ImageMagick $HOME/.config/ImageMagick <client path>/etc/ImageMagick
レンタルサーバーでは自分のホームディレクトリ以下しか触れないので、上記 ~/.config/ImageMagick を試したが、さくらのレンタルサーバでは機能しなかった。
上記の設定ファイルの場所は ImageMagick の 6.8.8-8 あたり(?)で変更されたもののようで、それ以前は ~/.magick/ だった3。
さくらのレンタルサーバにインストールされている ImageMagick のバージョンは 6.8.0-7。
参考
- ImageTragick
- ImageMagickの脆弱性(CVE-2016-3714他)についてまとめてみた - piyolog
- Remote code execution vulnerability in ImageMagick | Hacker News
-
policy.xmlによる回避策は、右の投稿より。http://www.openwall.com/lists/oss-security/2016/05/03/18https://imagetragick.com/#policy (2016/5/5修正) ↩ -
この点についてドキュメントされたものが見当たらない。GitHubのコミット履歴より。 https://github.com/ImageMagick/ImageMagick/commit/9f3b4fc30a52337aa9322eddcbd6699868f0d92f#diff-bca98816f556b73fe46b75571a2264cfL800 ↩