More than 5 years have passed since last update.

【CentOS6, ImageMagick6.9.3.10, yum】ImageMagickの脆弱性対応

Posted at 2016-05-10

ご注意

CentOS6でかつImageMagick6系の対応になります。

脆弱性

ImageMagick（画像のファイルアップロードで使用）で脆弱性が発見されております。
その対応をやっていきます。

対応方法

推奨されているとおり対応方法として下記２点行います。

ImageMagickのバージョンを 6.9.3.10にあげる
policy.xmlに脆弱性を無効化する記述を追加する

1について

$ sudo yum remove ImageMagick
$ sudo yum install --enablerepo=remi ImageMagick-last

2について

確認

$ git clone https://github.com/ImageTragick/PoCs.git
$ cd PoCs
$ ./test.sh

UNSAFEがあることを確認。

policy.xmlに修正を追加

sudo vi /etc/ImageMagick-last/ImageMagick-6/policy.xml

<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
<policy domain="coder" rights="none" pattern="TEXT" />
<policy domain="coder" rights="none" pattern="SHOW" />
<policy domain="coder" rights="none" pattern="WIN" />
<policy domain="coder" rights="none" pattern="PLT" />

修正確認

$ ./test.sh

全てSAFEになっていることを確認する

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up