Journal Faille dans ImageMagick

36
4
mai
2016

Salut les gens!

Une faille a été découverte dans ImageMagick, permettant l’exécution de code caché dans une image mal-formée.
Ça concerne principalement les personnes qui babysit des serveurs accessibles au public et qui permettent l’upload d’images.
Et il semble que le bug soit déjà bien connu, voir peut être même déjà exploité!
Il y a une méthode pour contenir la chose, publiée par l’équipe d’ImageMagick, en attendant le correctif qui devrait venir en fin de semaine.

  • # Déjà exploité ?

    Posté par . Évalué à 2.

    Et il semble que le bug soit déjà bien connu, voir peut être même déjà exploité!
    Sur leur annonce il ne dise rien de cela, peux tu en dire un peu plus ? Mettre un lien ?

    • [^] # Re: Déjà exploité ?

      Posté par (page perso) . Évalué à -1.

      "Huber went public in an attempt to prevent malicious attacks after learning the vulnerability details were already being widely disseminated ahead of Ermishkin's planned disclosure. The code-execution vulnerability came to light after it was used in recent bug bounty submissions."

      Premier lien.

    • [^] # Re: Déjà exploité ?

      Posté par . Évalué à 2.

      L'article d'Ars:

      "The exploit is trivial, so we expect it to be available within hours of this post," Huber wrote in a blog post published Tuesday. He went on to say: "We have collectively determined that these vulnerabilities are available to individuals other than the person(s) who discovered them. An unknowable number of people having access to these vulnerabilities makes this a critical issue for everyone using this software."

      Et:

      The code-execution bug was discovered by security researcher Nikolay Ermishkin, who is expected to release an advisory in the coming hours. Huber went public in an attempt to prevent malicious attacks after learning the vulnerability details were already being widely disseminated ahead of Ermishkin's planned disclosure. The code-execution vulnerability came to light after it was used in recent bug bounty submissions.

      Depending on the time of day, the French go either way.

  • # Curieux adjectif

    Posté par . Évalué à 10.

    L'adjectif facétieux me semble inadapté. Il n'évoque ni la malveillance ni la nuisance mais plutôt la blague sans conséquences… tout comme "malicieux" qu'on traduit un peu vite de l'anglais "malicious" là ou on devrait plutôt dire "malveillant". Bon c'est sûr que "code défectueux" ou "code exploitable", ça attire peut-être moins la curiosité du lecteur. Il y aurait bien "code pourri" mais ça provoquerait l'indignation des contributeurs d'ImageMagick. Ah c'est dur de trouver le terme juste… et puis comme les rédacteurs de journaux du site sont friands du 4ème degré là ou je vois péniblement plus loin que le premier, je me dis que j'ai dû tomber dans un pot à miel lexical. "Oh, silly me."

    • [^] # Re: Curieux adjectif

      Posté par . Évalué à 4.

      Te casses pas trop la tête, c’est juste de l’association libre qui s’est opérée, et j’ai couru avec, parce que:

      • J’aime bien la sonorité du mot.
      • Il n’est que trop rarement employé sur LinuxFR.

      Désolé pour l’inconfort intellectuel que j’ai pu te causer (sincèrement).

      Depending on the time of day, the French go either way.

    • [^] # Re: Curieux adjectif

      Posté par (page perso) . Évalué à 10.

      En fait si je comprends bien, c'est rien de tout ça. C'est simplement une faille, semblerait-il, laquelle permet d'effectuer du code malveillant tiers à travers ImageMagick.

      "Code facétieux/malicieux/malveillant dans ImageMagick" laisse à penser qu'il y a eu un développeur malintentionné qui a réussi à intégrer un code avec un but malveillant dans le logiciel même, exprès, ce qui — encore une fois, sauf erreur — n'est pas le cas.

      Juste dire "une faille" est neutre, et potentiellement il s'agit juste d'une "erreur" dans le code (ou l'architecture…).

      Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]

    • [^] # Re: Curieux adjectif

      Posté par (page perso) . Évalué à 8.

      La traduction exacte pour malicious serait “malin“ mais dans ce sens de malveillance on le comprend mieux au féminin “maligne” (à cause de l'expression “tumeur maligne” par exemple). On pourrait dire “erreur maligne” dans le code de Image Magick ou “erreur maligne dans Image Magick” – dont le pendant bénin serait “erreur bénigne”.

      • [^] # Re: Curieux adjectif

        Posté par (page perso) . Évalué à 0.

        Mouais, malin dans le sens affiché comme premier par l'atilf.fr, «Qui est enclin à faire du mal, du tort à autrui.», me semble vieilli et je lui attribuerais davantage le deuxième sens «Qui fait preuve d'ingéniosité, de ruse, de roublardise.». D'ailleurs l'exemple de l'expression «tumeur maligne» montre bien que ce sens est figé par une expression particulière et n'est pas révélatrice de son utilisation la plus régulière.

        Puis, quoi qu'il en soit, il est plus important de voir, dans le contexte, si réellement il y avait l'intention de faire du mal de la part du développeur responsable du code avec la faille.

        • [^] # Re: Curieux adjectif

          Posté par (page perso) . Évalué à 2.

          "Agressif" pourrait convenir, non?

          • [^] # Re: Curieux adjectif

            Posté par . Évalué à 2.

            Pour moi c'est rien de tout ça non plus c'est juste une *injection de code * possible en utilisant par une image forgé
            Le code lui-même peut être bienveillant ou malveillant ;)

        • [^] # Re: Curieux adjectif

          Posté par (page perso) . Évalué à 2.

          Mouais, malin dans le sens affiché comme premier par l'atilf.fr, «Qui est enclin à faire du mal, du tort à autrui.», me semble vieilli

          Oui, c'est pour ça que je proposais d'utiliser avec une forme féminine, parceque dans ce cas on fait plus facilement le lien avec ce sens vieilli (il me semble).

      • [^] # Re: Curieux adjectif

        Posté par (page perso) . Évalué à 4.

        malicious serait “malin“ mais dans ce sens de malveillance

        « malveillant ».

    • [^] # Re: Curieux adjectif

      Posté par (page perso) . Évalué à 3.

      Corrigé, merci.

  • # Exploit tout simple

    Posté par (page perso) . Évalué à 10.

    L'exploit fait peur tellement il est simple : http://m.theregister.co.uk/2016/05/04/imagemagick_exploits_in_the_wild/

    • [^] # Re: Exploit tout simple

      Posté par (page perso) . Évalué à 2.

      C'est même pire que ça : il est hyper simple, mais il permet en plus d'exécuter tout et n'importe quoi tranquillement ; alors que souvent les failles permettent juste de lancer un truc particulier.

      Il manque juste le fait de passer root pour que ce soit totalement parfait.

      • [^] # Re: Exploit tout simple

        Posté par . Évalué à 3.

        Il manque juste […]

        Heu la marche est très grande entre exploiter une faille d'un logiciel pour avoir les mêmes droits que l'utilisateur qui l'a lancé et exploiter par la suite une faille du noyau pour devenir root sur le système.

        D'ailleurs ce type de failles milite beaucoup pour un containment des applications utilisateurs pour limiter la portée d'une faille.

    • [^] # Re: Exploit tout simple

      Posté par (page perso) . Évalué à 3.

      Ça touche de gros sites connus apparemment.
      Ca risque de faire mal si les admins n'interviennent pas rapidement.
      C'est trop facile pour les script kids…

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.