「ImageMagick」にOSコマンドを実行される脆弱性(JPCERT/CC) | ScanNetSecurity
2024.05.01(水)

「ImageMagick」にOSコマンドを実行される脆弱性(JPCERT/CC)

JPCERT/CCは、「ImageMagick」の脆弱性(CVE-2016-3714)に関する注意喚起を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
facebookLINE
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は5月6日、「ImageMagick」の脆弱性(CVE-2016-3714)に関する注意喚起を発表した。これは「ImageMagick 6 系列 6.9.3-9 およびそれ以前」および「ImageMagick 7 系列 7.0.1-0 およびそれ以前」に、OSコマンドを実行される脆弱性が存在するというもの。本脆弱性の実証コードがすでに公開されており、JPCERT/CC が検証した結果、ImageMagick を実行しているユーザの権限で任意のOSコマンドが実行されることを確認したという。

本脆弱性を悪用するコンテンツをImageMagickで開いた場合、任意のOSコマンドが実行される可能性がある。開発元であるImageMagick Studio LLCでは本脆弱性を修正したバージョン(6 系列 6.9.3-10、7 系列 7.0.1-1)を公開しており、JPCERT/CCでは同バージョンでは本脆弱性に対する実証コードが動作しないことを確認している。JPCERT/CCでは、最新バージョンへの更新に加え、設定ファイルでの対策も合わせて行うよう呼びかけている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

関連リンク

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  4. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  5. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  6. GROWI に複数の脆弱性

    GROWI に複数の脆弱性

  7. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  8. KELA、生成 AI セキュリティソリューション「AiFort」提供開始

    KELA、生成 AI セキュリティソリューション「AiFort」提供開始

  9. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  10. トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

    トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

ランキングをもっと見る
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP