2016年5月3日ころ、画像処理ソフトImageMagickに複数の脆弱性が公開されました。
- CVE-2016-3714 シェル文字列の不十分なフィルタリングによる(潜在的なリモート)コード実行の脆弱性
- CVE-2016-3715 ファイル消去の脆弱性
- CVE-2016-3716 ファイル移動の脆弱性
- CVE-2016-3717 ローカルファイルの読み込みの脆弱性
- CVE-2016-3718 SSRFの脆弱性
これらの脆弱性については、以下のサイトで公開されております。
ImageTragick
日本語でまとめられた情報については、以下のURLが詳しいので、そちらもご参照ください。
ImageMagickの脆弱性(CVE-2016-3714他)についてまとめてみた
WordPress 3.5 以降では ImageMagick がサーバに導入されている場合使用するようになっているため、 ImageMagick を導入している場合は対応が必要になります。
WP_Image_Editor is incoming!
Amimoto ではデフォルトでは ImageMagick を導入しておりませんので、特に設定変更をされていないかぎりは対応は必要ありません。
EC2ローンチ後に ImageMagick を手動で導入されている場合は、上記サイトを確認の上対応をお願い致します。
サーバに ImageMagick が導入されているかを確認するには、SSH接続後以下のコマンドでご確認ください。
$ rpm -q php-pecl-imagick
$ rpm -q ImageMagick※ デフォルトインストールされた Amimoto AMI では「package php-pecl-imagick is not installed」と表示され、ImageMagick が導入されていないことが確認できます。
