-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
画像処理アプリケーションのImageMagickの脆弱性が出ていますが、
みなさん対応しましたか?
Struts2の脆弱性騒ぎも冷めやらぬまま突入したゴールデンウィークでしたが、みなさんいかがお過ごしでしょうか。最近のバージョンではデフォルトでDMI機能が無効化されていることもあってか私の周りでは被害の話を聞きませんでした。ひやひやしましたが、平和なゴールデンウィークだったのではないでしょうか。
そんな中、ImageMagickという画像処理アプリケーションに脆弱性が発見されて話題になっています。最後の「k」を思わず忘れてしまいそうなつづりですね。
みなさん、すでに把握されていますか?
脆弱性に関する詳細は
ImageMagickの脆弱性(CVE-2016-3714他)についてまとめてみた - piyolog
ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起
ImageMagick Security Issue - ImageMagick
をご参照していただくのが一番です。余談ですが、piyologはセキュリティに関わる人であればみんな押さえておくべき重要なブログですので、忘れないようにしましょう!!
そして、ImageMagickですが、複数の脆弱性がまとめて公開されており、攻撃コードも公開されています。攻撃コードを仕込んだファイルをImageMagickに食わせることができれば攻撃は容易ですので、アップデートを必ず検討してください。想定されるシナリオとしては画像変換処理が動くようなウェブアプリを一般向けに公開しているサイトに対して、攻撃コードを含んだファイルを送りつけることが一番可能性が高いのではないかと思っています。その他、メールに含まれている画像を処理するサーバにImageMagickが使われている場合も影響を受けるかもしれません。
レンタルサーバ事業者ではImageMagickの脆弱性対応が行われている事業者もあります。一部の事業者では脆弱性対応が終わるまで、機能制限を実施するケースもあるようです。契約している事業者の「お知らせ」「サポートサイト」などにも注意が必要です。
GW明けでお仕事がたまっている時期かもしれませんが、ImageMagickの影響を受けそうな箇所の確認を忘れないようにしてください。
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR