Критическая уязвимость в библиотеке ImageMagick, используемой на многих сайтах

В библиотеке ImageMagick, которая часто используется web-разработчиками для преобразования изображений (например, создания миниатюр), устранена порция уязвимостей, среди которых имеется критическая проблема (CVE-2016-3714), позволяющая организовать выполнение кода при обработке специально оформленных изображений. В том числе проблеме подвержены пользователи пакетов PHP imagick, Ruby rmagick, Ruby paperclip и Node.js imagemagick. Уязвимости присвоено имя "ImageTragick".

Исследователями уже подготовлен рабочий прототип эксплоита (POC.gif), который вероятно уже взят злоумышленниками на вооружение для проведения атак (имеются сведения, что информация об уязвимости стала доступна посторонним до обнародования проблемы). Всем пользователям рекомендуется незамедлительно обновить ImageMagick. На момент написания новости обновления пакетов еще на сформированы для Debian, Ubuntu, RHEL/CentOS, SUSE, openSUSE, FreeBSD, Fedora.

В качестве обходного пути защиты пользователям ImageMagick рекомендуется отключить проблемные типы обработчиков в файле конфигурации /etc/ImageMagick/policy.xml. Кроме того, предлагается реализовать проверку поступающих на обработку изображений на предмет соответствия расширения файла и его идентификатора в заголовке файла (GIF - "47 49 46 38", JPEG - "FF D8" и т. п.).

Уязвимость вызвана ненадлежащей проверкой имен файлов при вызове внешних обработчиков, которые вызываются при помощи функции system() с использованием одной строки, без разделения опций. Так как параметр с именем файла (%M) передается напрямую без чистки и имеется возможность передачи произвольных спецсимволов, не составляет труда осуществить подстановку любых shell-команд. Например, обработчик HTTPS оформлен как '"wget" -q -O "%o" "https:%M"', что позволяет вместо имени хоста указать '"https://example.com" |ls "-la"' и выполнить команду 'ls -la'.