[カテゴリ一覧へ戻る]

a

ImageMagick の脆弱性 (CVE-2016-3714) 対応方法 (対象OS:Red Hat Enterprise Linux 5および、CentOS 5)について

問題の概要

ImageMagick には、脆弱性を悪用するコンテンツを ImageMagick で開いた場合に、
任意の OS コマンドが実行される恐れがある、脆弱性があります。
本ページでは、お客様ご自身にて 本脆弱性に対応する方法をご案内いたします。

対象サービス
ご契約サーバ上で ImageMagick (画像処理ソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)

脆弱性(CVE-2016-3714)の影響を受けるバージョン
6系 6.9.3-9 以前のバージョン
7系 7.0.1-0 以前のバージョン

対象CVE番号
CVE-2016-3714

対応について
RHEL5 CentOS5につきましては、ベンダーからの修正パッケージの提供がございませんので、
下記手順にて対応をお願いいたします。

Redhat社から公開されている手順と、同様となります。
https://access.redhat.com/security/vulnerabilities/2296071

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下の対応手順で正常に作業できない可能性がございます。ご注意ください。

対応方法

(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). OSのバージョン確認方法

# cat /etc/redhat-release

(3). インストールされているパッケージの確認

# rpm -qa|grep ^ImageMagick

(4). 対応作業の実施

以下のコマンドを実行し、ファイルのリネームを行います

対象ディレクトリに移動
32bit
# cd /usr/lib/ImageMagick-6.2.8/modules-Q16/coders/
64bit
# cd /usr/lib64/ImageMagick-6.2.8/modules-Q16/coders/

※ImageMagick-6.2.8の部分はバージョンにより異なります。

ファイルをリネームします
# mv mvg.so mvg.so.bak
# mv msl.so msl.so.bak
# mv label.so label.so.bak

(5). 作業後確認
ImageMagick の動作に問題が無いことを確認してください。    以上、となります。

Category: セキュリティ・設定
Tags: アップデート, セキュリティ・設定, パッケージ, CVE-2016-3714, 脆弱性, ImageMagick
Permalink
a

ImageMagick の脆弱性 (CVE-2016-3714) 対応方法 (対象OS:Red Hat Enterprise Linux 6,7および、CentOS 6,7)について

問題の概要

ImageMagick には、脆弱性を悪用するコンテンツを ImageMagick で開いた場合に、任意の OS コマンドが実行される恐れがある、脆弱性があります。本ページでは、お客様ご自身にて 本脆弱性に対応する方法をご案内いたします。

対象サービス
ご契約サーバ上で ImageMagick (画像処理ソフトウェア) を運用しているサーバ
(VPS / FPS / Flex Mini / Flex Mini2 / 専用サーバ / 専用サーバ Flex シリーズ / SolaCloud nano)

脆弱性(CVE-2016-3714)の影響を受けるバージョン
6系 6.9.3-9 以前のバージョン
7系 7.0.1-0 以前のバージョン

対象CVE番号
CVE-2016-3714

セキュリティパッチ適用対象OS

Red Hat Enterprise Linux 6
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7

注意

  • 本手順は無保証となります。作業をされる際は、お客様の責任にておこなっていただけますようお願いいたします。
  • お客様にて初期設定から設定をカスタマイズしている場合は、以下のアップデート手順で正常にアップデートできない可能性がございます。ご注意ください。
  • 弊社ではお客様サーバの OS に対応した OS ディストリビュータより提供された純正パッケージでのアップデートを強く推奨いたします。

 ■対応方法

(1). SSH にてサーバにログイン

SSH にてサーバにログインし、root ユーザに切り替えます。

(2). OSのバージョン確認方法

# cat /etc/redhat-release

(3). インストールされているパッケージの確認

# rpm -qa|grep ^ImageMagick

(4). アップデートの実施

以下のコマンドを実行し、アップデートを行います

Red Hat Enterprise Linux 6の場合
CentOS 6
Red Hat Enterprise Linux 7
CentOS 7
# yum update ImageMagick


(5). ImageMagickパッケージのバージョン確認

# rpm -q ImageMagick –qf ‘%{name}-%{version}-%{release}\n’
ImageMagickパッケージのバージョンが、以下リリース番号と同じになっているかどうかを確認します。

■CentOS 6および、Red Hat Enterprise Linux 6の場合の修正バージョン
6.7.2.7-4.el6_7

■CentOS 7および、Red Hat Enterprise Linux 7の場合の修正バージョン
6.7.8.9-13.el7_2

(6). 作業後確認
ImageMagick のアップデートに伴い、関連パッケージに影響が出ることがございます。
(PHPのImagick モジュール等、他のソフトウェアから ImageMagick を使用している場合)
必要に応じて、そちらも合わせてアップデート作業等を行ってください。  

以上、となります。

Category: セキュリティ・設定
Tags: アップデート, セキュリティ・設定, パッケージ, CVE-2016-3714, 脆弱性, ImageMagick
Permalink