Nach Angaben von CERT-Bund kann ein lokaler oder entfernter, anonymer Angreifer mehrere Schwachstellen in der Bildverarbeitungssoftware ImageMagick ausnutzen, um einen Denial-of-Service-Angriff zu initiieren.
Details der Schwachstellen
Die betroffenen Komponenten verarbeiten speziell gestaltete Bilddateien, die zu einer übermäßigen Speicher- oder CPU-Auslastung führen und damit den betroffenen Dienst zum Absturz bringen können.
Mögliche Auswirkungen
Webdienste, Anwendungen und Systeme, die ImageMagick für Bildkonvertierungen einsetzen, könnten durch die Ausnutzung der Schwachstellen vorübergehend nicht erreichbar werden, was zu Betriebsunterbrechungen führt.
Empfohlene Gegenmaßnahmen
Betreiber sollten unverzüglich prüfen, welche Version von ImageMagick im Einsatz ist, und auf die von den jeweiligen Anbietern bereitgestellten Sicherheitspatches umsteigen. Zusätzlich wird empfohlen, Eingabedaten zu validieren und ungewöhnliche Ressourcennutzungen zu überwachen.
Hintergrund zu ImageMagick
ImageMagick ist eine weit verbreitete Open-Source-Bibliothek, die Bildformate konvertiert, skaliert und bearbeitet. Aufgrund ihrer breiten Anwendung in Serverumgebungen ist die Sicherheit der Bibliothek für viele Betreiber von zentraler Bedeutung.
Frühere Vorfälle
In den vergangenen Jahren wurden bereits mehrere Sicherheitslücken in ImageMagick veröffentlicht, die ebenfalls zu Denial-of-Service- oder Codeausführungsrisiken geführt haben.
Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).
Ende der Übertragung