c.m.g
06-05-2016, 09:51
Giovedì 5 maggio 2016
Un pacchetto di tool comunemente usato dai framework Web risulta essere vulnerabile, e le vulnerabilità sono già attivamente sfruttate. Una patch, incompleta, è in arrivo, per ora ci sono le misure per mitigare gli attacchi
Roma - Grave problema di sicurezza per ImageMagick, pacchetto di librerie e strumenti di processing usato da un gran numero di siti Web per la gestione e la modifica al volo delle immagini caricate dagli utenti: il codice è vulnerabile, le vulnerabilità sono già sfruttate dai cyber-criminali e le patch non sono ancora pronte.
Gli sviluppatori di ImageMagick hanno riconosciuto (http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588) l'esistenza del problema, anzi, dei problemi nel loro codice, soprattutto per quanto riguarda la vulnerabilità più grave classificata come CVE-2016-3714: la falla è già stata ribattezzata ImageTragick (https://imagetragick.com/), e può portare all'esecuzione di codice malevolo da remoto con l'upload di file grafici appositamente malformati.
Il problema nel codice di ImageMagick è di quelli "sistemici", visto che si parla di un pacchetto di tool usato da un gran numero di siti più o meno popolari (CMS, social network, forum, blog) nelle sue diverse incarnazioni in codice PHP (imagick), Ruby (rmagick, paperclip), Node.js (imagemagick) e Python.Oltre alla già citata esecuzione di codice da remoto, i potenziali rischi (http://www.theregister.co.uk/2016/05/03/imagemagick/) derivanti dall'abuso delle falle includono la modifica, la cancellazione o la compromissione dei file presenti sui server vulnerabili. Al momento gli sviluppatori sono al lavoro su una patch, mentre per mitigare gli attacchi già in corso è possibile applicare alcune misure restrittive (http://www.infoworld.com/article/3065473/security/admins-dont-wait-for-imagemagick-patch.html) al funzionamento di ImageMagick direttamente sul server.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4316842/PI/News/imagemagick-rischio-sicurezza-immagini-sul-web.aspx)
Un pacchetto di tool comunemente usato dai framework Web risulta essere vulnerabile, e le vulnerabilità sono già attivamente sfruttate. Una patch, incompleta, è in arrivo, per ora ci sono le misure per mitigare gli attacchi
Roma - Grave problema di sicurezza per ImageMagick, pacchetto di librerie e strumenti di processing usato da un gran numero di siti Web per la gestione e la modifica al volo delle immagini caricate dagli utenti: il codice è vulnerabile, le vulnerabilità sono già sfruttate dai cyber-criminali e le patch non sono ancora pronte.
Gli sviluppatori di ImageMagick hanno riconosciuto (http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=29588) l'esistenza del problema, anzi, dei problemi nel loro codice, soprattutto per quanto riguarda la vulnerabilità più grave classificata come CVE-2016-3714: la falla è già stata ribattezzata ImageTragick (https://imagetragick.com/), e può portare all'esecuzione di codice malevolo da remoto con l'upload di file grafici appositamente malformati.
Il problema nel codice di ImageMagick è di quelli "sistemici", visto che si parla di un pacchetto di tool usato da un gran numero di siti più o meno popolari (CMS, social network, forum, blog) nelle sue diverse incarnazioni in codice PHP (imagick), Ruby (rmagick, paperclip), Node.js (imagemagick) e Python.Oltre alla già citata esecuzione di codice da remoto, i potenziali rischi (http://www.theregister.co.uk/2016/05/03/imagemagick/) derivanti dall'abuso delle falle includono la modifica, la cancellazione o la compromissione dei file presenti sui server vulnerabili. Al momento gli sviluppatori sono al lavoro su una patch, mentre per mitigare gli attacchi già in corso è possibile applicare alcune misure restrittive (http://www.infoworld.com/article/3065473/security/admins-dont-wait-for-imagemagick-patch.html) al funzionamento di ImageMagick direttamente sul server.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4316842/PI/News/imagemagick-rischio-sicurezza-immagini-sul-web.aspx)