Une faille contenue dans les bibliothèques ImageMagick permet d’exécuter du code à distance sur les sites web
d'autres failles ont été détectées

Depuis la semaine dernière, plusieurs entités ont signalé la présence de vulnérabilités au sein du package ImageMagick. ImageMagick est une suite logicielle permettant de créer, éditer, composer ou convertir les images bitmap. Elle est capable de lire et d’écrire des images dans plus de 200 formats de fichiers et offre l’avantage de fournir ces fonctionnalités compilées dans une diversité de langages tels qu’Ada, C, C++, Java, LISP, LuaJIT, Haxe, .Net, Pascal, Perl, PHP, Python, Ruby, etc.

Les utilisateurs qui le souhaitent ont donc la possibilité d’utiliser les API ou ABI disponibles afin d’effectuer des traitements d’images dynamiquement. Si vous êtes un utilisateur et que vous n’avez jamais entendu parler des plug-ins ImageMagick, vous pouvez les avoir déjà utilisés sans vous en rendre compte.

En effet, plusieurs sites ont recours à cette suite d’outils pour permettre aux utilisateurs de télécharger des images sur leurs sites ou encore pour appliquer un certain nombre de modifications telles que la réduction automatique de la taille des images téléchargées sur les sites, l’ajustement des couleurs de ces images, l’application de divers effets spéciaux, etc.

Mais depuis la semaine dernière, ImageMagick fait parler d’elle à cause des failles détectées dans ses bibliothèques destinées à faciliter le traitement d’images par les services web. Cela lui a même valu d’être tournée en dérision en changeant le nom d’ImageMagick en ImageTragic.

Le premier bogue détecté a été découvert par un chercheur en sécurité du nom de Stewie. Il a été référencé sous le code CVE-2016–3714 et permet à un attaquant de leurrer les bibliothèques ImageMagick en leur envoyant une image au format JPG intégrant un contenu modifié au format mvg/.svg. Avec ce fichier malicieux, l’attaquant peut forcer l’exécution d’une commande Shell sur le serveur distant.

À partir de là, plusieurs autres vulnérabilités ont vu le jour. Pour l’entreprise de sécurité informatique Sucuri, l’on peut les résumer de la sorte :

  • une faille (CVE-2016-3715) permettant la suppression à distance des fichiers sur un serveur en utilisant le protocole « ephemeral:/ » ;
  • une faille (CVE-2016-3716) permettant le déplacement de fichiers à distance en utilisant le pseudo-protocole « msl:/ » ;
  • cette faille référencée sous le code CVE-2016-3717 qui permet d’obtenir le contenu d’un fichier en utilisant le protocole « label:@ » ;
  • une faille (CVE-2016-3718) permettant d’envoyer des requêtes HTTP GET ou FTP.


Selon les informations fournies par ImageMagick, certaines failles ont été colmatées entièrement tandis que d’autres attendent encore leurs correctifs définitifs. Mais en attendant la sortie des correctifs complets, ImageMagick recommande le suivi de deux recommandations afin d’atténuer les conséquences de ces failles.

  1. Vérifier que toutes les images commencent avec les signatures attendues correspondant aux types de fichiers que vous supportez avant de les passer à ImageMagick pour leur traitement.
  2. Utiliser le fichier de configuration policy.xml pour désactiver les codeurs vulnérables d’ImageMagick. Dans l’exemple du fichier de configuration ci-dessous, les codeurs EPHEMERAL, URL, MVG et MSL ont été désactivés.


Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
<policymap>
  <policy domain="coder" rights="none" pattern="EPHEMERAL" />
  <policy domain="coder" rights="none" pattern="URL" />
  <policy domain="coder" rights="none" pattern="HTTPS" />
  <policy domain="coder" rights="none" pattern="MVG" />
  <policy domain="coder" rights="none" pattern="MSL" />
  <policy domain="coder" rights="none" pattern="TEXT" />
  <policy domain="coder" rights="none" pattern="SHOW" />
  <policy domain="coder" rights="none" pattern="WIN" />
  <policy domain="coder" rights="none" pattern="PLT" />
</policymap>

Source : ImageTragick, Blog Sucuri

Et vous ?

Utilisez-vous ImageMagick ? Que pensez-vous de ces failles ?

Avez-vous été victime d’une attaque exploitant ces failles détectées ? Qu’avez-vous fait pour régler le problème ?

Avez-vous des propositions à apporter pour aider les utilisateurs à se protéger contre ces bogues rapportés ?


Voir aussi

Forum Sécurité