Eine Funktion, bei der Teile von Dateinamen an die Shell weitergereicht und ausgeführt werden, ist in den Bildbearbeitungs-Bibliotheken GraphicsMagick und ImageMagick enthalten. Dadurch kann Schadcode eingeschleust werden. Mit der jetzt erschienenen Version 1.3.24 haben die GraphicsMagic-Entwickler daher die entsprechende Funktion aus ihrem Tool entfernt. Das Problem wurde auch in ImageMagick 7.0.1-7 behoben.

ImageMagick hatte vor einem Monat etwa eine andere Sicherheitslücke (CVE-2016–3714), über die Schadcode auf den betroffenen Servern ausgeführt werden konnte. Diese Lücke wurde direkt für Angriffe missbraucht. Das zeigt, wie wichtig es ist, die entsprechenden Bibliotheken schnell zu aktualisieren. Vor allem Linux-Server, auf denen Web-Apps laufen, sind betroffen. Gerade dann, wenn Besucher eigene Bilder wie Foren-Avatare hochladen dürfen. Unter Linux und Unix benutzen viele Desktop-Programme auch diese Bibliotheken im Hintergrund.

Somit sollten Admins sicherstellen, dass sie die neuesten von ihrer Linux-Distribution angeboten Pakete für ImageMagick und GraphicsMagick installiert haben. Auf den Seiten der Projekte ImageMagick und GraphicsMagick sind die neuen Versionen auch erhältlich.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE