Site icon Sophos News

Faille de sécurité dans ImageMagick : votre site ou blog concerné ?

Faille de sécurité dans ImageMagick : votre site ou blog concerné ?

ImageMagick est un logiciel de traitement d’images, libre et open source, qui existe depuis plus de 25 ans.

Vous n’avez peut-être jamais entendu parler de ce logiciel ou bien jamais vu son logo : un magicien plutôt souriant, avec chapeau tacheté d’étoiles, une longue barbe et une baguette magique à la main.

Cependant vous avez certainement déjà utilisé ImageMagick sans même vous en rendre compte. En effet il permet, par exemple, quand vous avez uploadé des images sur un site web ou sur un blog de pouvoir les utiliser ultérieurement au sein d’articles ou de pages web.

ImageMagick n’est pas équivalent à GIMP, Adobe Photoshop, ou encore à l’application Photo d’Apple, dans lesquels vous ouvrez une image qui apparaît dans une fenêtre graphique, et sur laquelle vous pouvez ensuite travailler dessus avec tout une gamme d’outils interactifs au niveau du menu.

ImageMagick est un programme basé sur un ensemble d’utilitaires en ligne de commande, qui est dédié essentiellement au traitement d’images en masse et de manière répétitive.

Par exemple, si vous offrez un service en ligne sur lequel les utilisateurs peuvent stocker leurs dernières photos de vacances, et les parcourir ultérieurement, vous pouvez utiliser ImageMagick pour produire toute une série de vignettes et ce automatiquement.

Vous pourrez alors lancer un traitement de l’intégralité des images uploadées, afin de les rendre carrées et mises à la dimension exacte de 200×200 pixels, et ensuite les convertir en des fichiers GIF de 256 couleurs avec une palette standard.

Vous pouvez même utiliser ImageMagick pour ajouter des annotations à vos images, par exemple en ajoutant une barre grise traversant le bas de vos photos avec la mention d’un copyright, pour effectuer une correction automatique des couleurs, pour améliorer la netteté d’une série d’images, pour réaliser l’animation de GIF pour des sites web, et bien plus encore.

ImageMagick supporte également de nombreux langage de script de manière indépendante, tel que et , qui vous permettent de décrire les images, à la fois sous forme de formats à base de pixels ou vectoriel, et ce en utilisant des lignes de commande.

En résumé ?

Pour résumer, ImageMagick travaille souvent en tâche de fond au niveau des serveurs internet, en traitant de manière automatique des images peu fiables qui ont été uploadées par des utilisateurs distants.

Malheureusement, une vulnérabilité dans ImageMagick a été rapportée la semaine dernière (CVE-2016-3714), qui autorise des images uploadées et piégées à duper le logiciel ImageMagick, en lui faisant exécuter directement des lignes de commandes, ce qui aboutit au final à un .

Selon un rapport réalisé à ce sujet, les cybercriminels connaissaient déjà cette faille, et l’exploitaient déjà sérieusement.

Comme vous pouvez l’imaginer, les cybercriminels adorent les failles autorisant des RCE au niveau de serveurs, car elles leur permettent de prendre le contrôle de site web officiels, qui pour la plupart utilisent une variante de Linux, et s’en servent ensuite à des fins criminelles telles que le phishing, le vol de données, et la distribution de ransomwares.

Quoi faire ?

Les détails de cette vulnérabilité n’ont pas encore été rendus public, afin d’éviter tout risque de réplication des exploits concernés.

Cependant, l’alternative proposée implique de rajouter les lignes suivantes à la configuration du produit, au sein du fichier policy :

<policy domain=”coder” rights=”none” pattern=”EPHEMERAL” />

<policy domain=”coder” rights=”none” pattern=”HTTPS” />

<policy domain=”coder” rights=”none” pattern=”MVG” />

<policy domain=”coder” rights=”none” pattern=”MSL” />

En d’autres termes, ces quelques lignes désactivent le traitement automatique de certaines entrées, dont aucune ne concerne des fichiers JPG ou GIF, mais dont toutes peuvent être utilisées pour se référer à des fichiers au niveau du système local.

Nous pensons que cette possibilité de se référer à des fichiers internes, depuis le réseau extérieur fait partie du problème qui rend possible les RCE.

Curieusement, sur un des forums relatifs à ImageMagick, cette suggestion de désactivation au niveau de la configuration avait déjà été faite en 2014, cependant elle ne fait pas encore partie du fichier policy.xml par défaut.

Enfin, un site d’information indépendant se dénommant ImageTragick (oui cette faille a déjà fait l’objet d’un logo, d’un nom plutôt amusant et d’une page web), recommande d’ajouter :

<policy domain=”coder” rights=”none” pattern=”URL” />

On peut supposer que cette ligne supplémentaire désactive le traitement par ImageMagick d’URLs distantes, et ce même s’il s’agit d’une connexion HTTPS sécurisée.



//
Billet inspiré de “Is your website or blog at risk from this ImageMagick security hole?” par Paul Ducklin de Naked Security
Partagez “Faille de sécurité dans ImageMagick : votre site ou blog concerné ?” avec http://wp.me/p2YJS1-2FB

Exit mobile version