Debian entdeckt alte ImageMagick-Lücke wieder
Die Debian-Entwickler haben eine Lücke vom Juli 2012 in älteren Versionen der beliebten Bildverarbeitungsbibliothek ImageMagick geschlossen, die zur Ausführung von Schadcode genutzt werden konnte. Manche Linux-Distributionen sind noch betroffen.
- Fabian A. Scherschel
Die Debian-Entwickler haben einen mehr als ein Jahr alten und jetzt als gravierend eingestuften Fehler beim Umgang mit GIF-Dateien in der freien Bildverarbeitungsbibliothek ImageMagick geschlossen. Die ImageMagick-Entwickler hatten das Problem im Juli 2012 nebenbei in einem Routineupdate gepatcht, waren aber offensichtlich nicht auf die sicherheitstechnische Brisanz des Problems aufmerksam geworden.
Debian-Entwickler Anton Kortunov merkte nun, dass es durch die Verarbeitung von speziell präparierten GIF-Bildern hier zu einem Überschreiben von Puffergrenzen kommen kann, was möglicherweise die Tür zur Ausführung von beliebigem Programmcode öffnen könnte. Da ImageMagick oft auf Webservern eingesetzt wird, um vollautomatisch Bilder zu verarbeiten, die von Dritten hochgeladen wurden, könnten Angreifer auf diesem Weg den Webserver übernehmen. Das Debian-Projekt gab daraufhin eine Sicherheitsmeldung heraus und teilte dem Bug eine CVE-Nummer zu, was die ImageMagick-Entwickler letztes Jahr versäumten.
Mit manipulierten Kommentaren in GIF-Dateien können Angreifer einen Pufferüberlauf der Programmbibliothek relativ einfach auslösen. Durch den Patch der Entwickler wird solchen Machenschaften nun ein Riegel vorgeschoben, indem die Kommentare nicht mehr als Rohdaten in den Systemspeicher geladen werden sondern mit der Funktion ConcatenateString() verarbeitet werden.
Das Problem betrifft ältere Versionen von ImageMagick von 6.7.7.10-5 bis zu Version 6.7.8-7. Mit Version 6.7.8-8 wurde die Lücke im Juli 2012 geschlossen. Betroffen sind auch Versionen aus den Paket-Bibliotheken der aktuellen Debian-Version "Wheezy" und aus dem experimentellen Zweig Debian "Sid"; diese wurden nun von den Debian-Entwicklern gepatcht. Die aktuelle LTS-Version von Ubuntu (12.04.3) ist ebenfalls angreifbar, wird aber die geflickten Pakete in naher Zukunft erhalten. Die Entwickler raten Nutzern dazu, ihre ImageMagick-Pakete entsprechend zu aktualisieren. Die ImageMagick-Pakete in den aktuellen Versionen von Fedora und OpenSuse sind nicht angreifbar. (fab)
