An sich ist Imagemagick eine feine Sache: Die Bildbearbeitungsbibliothek erlaubt es Bilder massenweise zu bearbeiten. So nutzen zahlreiche Webserver die Möglichkeiten von Imagemagick (oder eines seiner Ableger), um hochgeladene Bilder zu skalieren, und in unterschiedlichen Auflösungen parat zu haben. Die weite Verbreitung der Bibliothek hat allerdings nun zur Folge, dass für Systemadministratoren wieder einmal Extraarbeit ansteht.

Schadcode

Unter dem Namen Imagetragick wurde eine kritische Sicherheitslücke in der Bibliothek öffentlich gemacht. Mittels präparierten Bildern können Angreifer Schadcode auf einen Server hochladen und dort zur Ausführung bringen. Was die Angelegenheit besonders unerfreulich macht: Das Ausnutzen des Fehlers ist geradezu trivial.

Drum prüfe...

Wie der Sicherheitsforscher Nikolay Ermishkin von Mail.ru warnt, prüft Imagemagick die Dateinamen beim Hochladen nicht. Dadurch reicht es Shell-Code in einem Dateinamen unterzubringen, um diesen am Server auszuführen. Verschärft wird die Angelegenheit durch die umfassende Dateitypunterstützung von Imagemagick, finden sich doch in dieser Liste einige, die Code enthalten können, auch solche Dateien würden nicht ausreichend geprüft.

Temporär

Doch der Forscher hat noch eine weitere Schwachstelle gefunden, nämlich die Art wie Imagemagick den Dateityp ermittelt. Wird dieses nämlich nicht sofort erkannt, entpackt das Tool automatisch den Inhalt in einem temporären Verzeichnis – was Angreifer wiederum für ihre Zwecke nutzen können, um Manipulationen an einem Server vorzunehmen.

Update folgt

Eine neue Version, die all diese Defizite bereinigt, gibt es bisher noch nicht. Die Entwickler versprechen allerdings eine Veröffentlichung in den kommenden Tagen. Bis dahin beschreibt man in einem Forenpost Workarounds, mit denen sich die Ausnutzung dieser Fehler unterbinden lässt. Vor allem wer eine Seite betreibt, die den Nutzern das Hochladen von Dateien erlaubt und Imagemagick im Einsatz hat, sollte angesichts der aktuellen Situation sicherheitshalber umgehend die Workarounds auf den eigenen Servern umzusetzen. Kursieren doch mittlerweile bereits funktionstüchtige Exploits, die die beschriebenen Fehler ausnutzen können. (apo, 4.5.2016)