[News sécurité] Faille ImageMagick CVE-2016-3714

Le 4 Mai 2016 plusieurs failles de sécurité concernant ImageMagick ont été découvertes.

Que permettent-elles ?

L'exploitation de ces dernières permettrait, entre autre, à une personne malintentionnée d’exécuter des commandes à distance.
Cette série de faille est aussi connue sous le nom de "ImageTragick" (CVE-2016-3714 à CVE-2016-3718 ).

Comment vérifier si je suis impacté ?

Ces failles impactent plusieurs versions d'ImageMagick. Vous pouvez trouver plus d'informations, selon votre système d'exploitation, sur les liens suivants:


Nous indiquons ici uniquement les liens pour la première faille, vous pouvez obtenir les informations sur les autres en modifiant le numéro de CVE dans l'URL.
Le site ImageTragick explique les méthodes permettant de tester ces failles.

Les serveurs utilisant le fork GraphicsMagick sont aussi concernés: source

Comment la corriger ?

Il n'existe pas, pour le moment, de mise à jour corrigeant l'ensemble des failles, il est alors conseillé de:

  • Vérifier que vos images commencent bien par le "magic bytes" correspondant au type de fichier avant de l'envoyer à ImageMagick.
  • Désactiver les 'coders' ImageMagick via le fichier policy.xml. Vous devez ajouter entre les balises policymap la configuration suivante:
<policy domain="coder" rights="none" pattern="EPHEMERAL"/>
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
<policy domain="coder" rights="none" pattern="TEXT" />
<policy domain="coder" rights="none" pattern="SHOW" />
<policy domain="coder" rights="none" pattern="WIN" />
<policy domain="coder" rights="none" pattern="PLT" />

Pour plus d'informations vous pouvez consulter les sources suivantes:
https://imagetragick.com/
http://www.kb.cert.org/vuls/id/250519

Si vous disposez d'une prestation mutualisée ou en infogérance complète sachez que nos équipes ont déjà mis en place cette configuration.


Ajouter un commentaire