[カテゴリ一覧へ戻る]


問題の概要

ImageMagick には、脆弱性を悪用するコンテンツを ImageMagick で開いた場合に、
任意の OS コマンドが実行される恐れがある、脆弱性があります。
本ページでは、お客様ご自身にて 本脆弱性に対応する方法をご案内いたします。

対象サービス
ご契約サーバ上で ImageMagick (画像処理ソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)

脆弱性(CVE-2016-3714)の影響を受けるバージョン
6系 6.9.3-9 以前のバージョン
7系 7.0.1-0 以前のバージョン

対象CVE番号
CVE-2016-3714

対応について
RHEL5 CentOS5につきましては、ベンダーからの修正パッケージの提供がございませんので、
下記手順にて対応をお願いいたします。

Redhat社から公開されている手順と、同様となります。
https://access.redhat.com/security/vulnerabilities/2296071

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下の対応手順で正常に作業できない可能性がございます。ご注意ください。

対応方法

(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). OSのバージョン確認方法

# cat /etc/redhat-release

(3). インストールされているパッケージの確認

# rpm -qa|grep ^ImageMagick

(4). 対応作業の実施

以下のコマンドを実行し、ファイルのリネームを行います

対象ディレクトリに移動
32bit
# cd /usr/lib/ImageMagick-6.2.8/modules-Q16/coders/
64bit
# cd /usr/lib64/ImageMagick-6.2.8/modules-Q16/coders/

※ImageMagick-6.2.8の部分はバージョンにより異なります。

ファイルをリネームします
# mv mvg.so mvg.so.bak
# mv msl.so msl.so.bak
# mv label.so label.so.bak

(5). 作業後確認
ImageMagick の動作に問題が無いことを確認してください。    以上、となります。

問題の概要

ImageMagick には、脆弱性を悪用するコンテンツを ImageMagick で開いた場合に、任意の OS コマンドが実行される恐れがある、脆弱性があります。本ページでは、お客様ご自身にて 本脆弱性に対応する方法をご案内いたします。

対象サービス
ご契約サーバ上で ImageMagick (画像処理ソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)

脆弱性(CVE-2016-3714)の影響を受けるバージョン
6系 6.9.3-9 以前のバージョン
7系 7.0.1-0 以前のバージョン

対象CVE番号
CVE-2016-3714

セキュリティパッチ適用対象OS

Red Hat Enterprise Linux 6
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
  • 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

 ■対応方法

(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). OSのバージョン確認方法

# cat /etc/redhat-release

(3). インストールされているパッケージの確認

# rpm -qa|grep ^ImageMagick

(4). アップデートの実施

以下のコマンドを実行し、アップデートを行います

Red Hat Enterprise Linux 6の場合
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7
# yum update ImageMagick


(5). ImageMagickパッケージのバージョン確認

# rpm -q ImageMagick –qf ‘%{name}-%{version}-%{release}\n’
ImageMagickパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン
6.7.2.7-4.el6_7

■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン
6.7.8.9-13.el7_2

(6). 作業後確認
ImageMagick のアップデートに伴い、関連パッケージに影響が出ることがございます。
(PHPのImagick モジュール等、他のソフトウェアから ImageMagick を使用している場合)
必要に応じて、そちらも合わせてアップデート作業等を行ってください。  

以上、となります。

回答

クララオンラインで採用している主要なソフトウェアのバージョン(2020年3月現在)は、次のとおりです。

主なソフトウェアのバージョン

ソフトウェア RHEL 4
CentOS 4
RHEL 5
CentOS 5
RHEL 6
CentOS 6
RHEL 7
CentOS 7
Apache 2.0.52 2.2.3 2.2.15 2.4.6
PHP 4.3.9 5.1.6 5.3.3 5.4.16
MySQL 4.1.22 5.0.77 5.1.73
MariaDB ※1 5.5.64
PostgreSQL 7.4.26 8.1.18 8.4.20 9.2.24
Perl 5.8.5 5.8.8 5.10.1 5.16.3
ImageMagick 6.0.7 6.2.8 6.7.2.7 6.7.8.9
gd ※2 2.0.28 2.0.33 2.0.35 2.0.35
Sendmail 8.13.1 8.13.8 提供無し 提供無し
qmail 1.0.3 1.0.3 提供無し 提供無し
Postfix 2.2.10 2.3.3 2.6.6 2.10.1
BIND bind-9.2.4 bind-9.3.6 bind-9.8.2 bind-9.11.4
openssl 0.9.8e-27.el5_10.3 1.0.1e-58.el6_10 1.0.2k-19.el7

 

情報は、本ページ作成時点のものです。ソフトウェアのバージョンは、予告なく変更される場合がございます。当社では、安定したバージョンのソフトウェアを採用しています。採用バージョンは最新でない場合もございます。

※1 MySQLと互換性をもつデータベースとなります。
      CentOS 7の標準データベースが、MySQLから、MariaDBへ変更になりました。
      CentOS 7でMySQLをインストールしなければならない場合は、お客様にて作業をご実施いただきますようお願いいたします。
    なお、お客様にてCentOS 7でMySQLをインストールされた場合、弊社サポートをおこなわせていただくことができません。

 

※2 PHP上で利用できるGDライブラリとは異なります。
      RHEL4 の PHP4.3.9、RHEL5 の PHP5.1.6 に は GIF イメージの読み書き可能な GD 2.0.28
      compatibleがバンドルされています。 RHEL3付属のPHP 4.3.2には GIF イメージは読み取り
      のみ(書き込み不可)の GD 2.0.12 compatibleがバンドルされています。

バージョンの確認方法につきましては、下記FAQをご確認ください。

PHPのバージョンを教えてください。(Plesk環境の場合)

Category: OS

Load More