PHP、Ruby、NodeJS、Pythonなどの主要プログラミング言語でも使われている画像処理ツール「ImageMagick」に深刻な脆弱性が見つかった。影響が広範に及ぶことや、脆弱性を突く攻撃の発生が伝えられていることなどから、米セキュリティ機関US-CERTなどはパッチの適用を急ぐよう呼び掛けている。

この問題は通称「ImageTragick」とも呼ばれている。解説サイトやセキュリティ機関のCERT/CCによると、ユーザーの入力内容がImageMagickで適切に検証されないまま処理されてしまうことが原因で、ユーザーがアップロードした画像を使って攻撃コードを実行される恐れがある。

この脆弱性はRed Hat、SUSE Linux、Ubuntuなど主要Linuxディストリビューションで影響が確認されているほか、PHPの「imagick」、Rubyの「rmagick」「paperclip」、NodeJSの「imagemagick」など、ImageMagickを使ったライブラリ多数が影響を受けるという。

悪用は比較的簡単とされ、セキュリティ研究者などはこの脆弱性の存在が発見者以外にも知られていると判断して、パッチ公開を前に概略の公表に踏み切っていた。

ImageMagickチームも脆弱性の存在を確認し、5月3日にセキュリティ情報を公開。「ImageMagick 7.0.1-1」および「6.9.3-10」を公開して問題を修正した。悪用を防ぐための対策についても説明している。

Copyright © ITmedia, Inc. All Rights Reserved.