1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. 画像処理ソフト「ImageMagick」に脆弱性(CVE-2016-3714)が確認される

画像処理ソフト「ImageMagick」に脆弱性(CVE-2016-3714)が確認される

画像処理ソフト「ImageMagick」に脆弱性(CVE-2016-3714)が確認される画像処理ソフト「ImageMagick」に、複数の脆弱性(CVE-2016-3714ほか)があることが確認された。同ソフトの開発チームは5月3日、注意喚起を公開し、これを受けて、JPCERT コーディネーションセンター(JPCERT/CC)やJVNでも注意喚起を公開している。

脆弱性(CVE-2016-3714)は、入力データの処理を行う前の検証が適切に行われないことによるもので、悪意のあるファイルを同ソフトで開いた際に、任意のコードを実行される可能性がある。

ImageMagickは、主要なプログラミング言語で使われており、画像をアップロードして処理を行うようなサービス(Webアプリケーション)などに組み込まれている可能性があることから、脆弱性をついた攻撃が広範囲で発生する可能性が指摘されている。なお、この脆弱性は、「ImageTragick」という通称が用いられている。

影響を受けるソフトウェアは、バージョン6(6.9.3-9以前)および、バージョン7(7.0.1-0以前)だ。また、Red Hat、SUSE Linux、Ubuntuといった主要Linuxディストリビューション(一般利用者がLinuxをインストールし、利用できる形態にパッケージされたもの)や、「PHP imagick」「Ruby rmagick, paperclip」「node.js imagemagick」などのImageMagickを使ったソフトウェアでも影響が確認されている。

ImageMagickの開発チームからは、最新バージョン(「6.9.4-0」または「7.0.1-2」)が公開されており、システム管理者やソフトウェア開発者は、速やかに最新版に更新することが推奨される。また、「CVE-2016-3714」以外の脆弱性(CVE-2016-3715、CVE-2016-3716、CVE-2016-3717、CVE-2016-3718)については、最新版への更新に加え、ImageMagickの設定ファイルの変更による対策を行う必要がある。

ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起(JPCERT/CC)
ImageMagick に入力値検証不備の脆弱性(JVNVU#92998929)
画像処理ツール「ImageMagick」に脆弱性、広い範囲に影響の恐れ(ITmedia)
ImageMagickの脆弱性(CVE-2016-3714他)についてまとめてみた(piyolog)


日立ソリューションズの関連ソリューション

サイバー攻撃対策ソリューション

サイバー攻撃対策ソリューション

高度化する標的型攻撃、マルウェア、DDoS攻撃に加え、リスト型攻撃、オンライン不正送金などに対応する最適なサイバー攻撃対策をコンサルテーションからシステム運用・監視までトータルに提供します。

詳しく見る

関連キーワード:

ImageMagick

ImageTragick

JPCERT

JVN

脆弱性

  • テレコムアイザック官民協議会とは
  • カテゴリートップへ
  • IPAが「情報セキュリティに対する経営者の関与」について日・米・欧の比較調査結果を発表