参考:ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起
ここで上がっていた通称 ImageTragick の件。
脆弱性の概要
海外のImageMagick公式で出てた内容を日本語になおしてくれているのが、以下。
delegate 先のコマンドに渡す前のファイル名のフィルタリングが不十分なため、ファイル形式の変換中に任意のコードを実行される可能性がある。
ImageMagick には外部ライブラリを使用してファイルを処理する 'delegate' と呼ばれる機能が存在する。この機能は、設定ファイル delegates.xml で指定されたコマンド名 ('command') と、入力ファイル名や出力ファイル名などのパラメータの値を使って組み立てられた文字列を system() 関数に渡して実行する形で実装されている。パラメータ %M に当てはめる入力値のフィルタリングが不十分なため、シェルコマンドインジェクションが可能である。
とのことで、ImageMagickの
- ImageMagick 6.9.3-10 より前のバージョン
- ImageMagick 7.0.1-1 より前のバージョン
を使用していて、
- delegate関連を使用している場合
に危ないそうです。標準で使っている分には問題なさそう。
対応方法
参考:ImageMagickの脆弱性「ImageTragick」にサクッと対応する
脆弱性検証スクリプト
git clone https://github.com/ImageTragick/PoCs.git
cd PoCs
./test.sh
ここでUNSAFEがあると脆弱性有り。
だそうです。簡単。