8/10

Imagemagick probleem: is mijn site in gevaar?

Recentelijk is een omvangrijk probleem gevonden in ImageMagick. Dit stukje software wordt vaak op webservers geïnstalleerd en gebruikt om automatisch afbeeldingen te verkleinen. Indien uw website dus automatisch afbeeldingen verkleint is er een redelijke kans aanwezig dat de website gebruik maakt van ImageMagick.

De issue met de naam ImageTrick maakt het mogelijk om uitvoerbare bestanden te uploaden die zich vermommen als afbeeldingen. ImageMagick verwerkt ze en daarmee wordt het bestand uitgevoerd. Zodra iemand met kwade intenties een bestand kan uitvoeren op de server kan in principe de volledige server over genomen worden.

Voor de meeste websites zal het gevaar beperkt zijn. Het gaat alleen om websites waar bezoekers zelf afbeeldingen kunnen uploaden die vervolgens verkleind worden met ImageMagick. Denk bijvoorbeeld aan een reactie systeem waarop gebruikers een profielfoto kunnen uploaden, maar ook een webshop waar men een logo kan uploaden om op een product te plaatsen. Indien alleen afbeeldingen worden gebruikt die door u zelf geupload zijn is het risico beperkt.

De oplossing

ImageMagick heeft nog geen update uitgebracht om het probleem te verhelpen, ze zijn hier wel druk mee bezig. Er zijn voor nu een aantal opties om de issue af te vangen. De meest voor de hand liggende is te stoppen met het gebruik van ImageMagick. Als alternatief wordt met PHP de GD Librarymeegeleverd. Dit vraagt wel enige aanpassingen in de code van de website.

Een betere oplossing is het aanpassen van een bestand van ImageMagick. Het gaat hierbij om policy.xml. Deze is standaard te vinden in /etc/ImageMagick/policy.xml op de server. Daarin moet het volgende komen te staan:

<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
</policymap>

Tot slot kan ook in de code van de website gecontroleerd worden of bestanden geen gevaarlijke data bevatten. Deze oplossing vraagt dus wederom om aanpassing aan de website.

Typify

Indien uw website bij Typify gehost wordt hoeft u zich geen zorgen te maken. Wij zijn direct alle servers nagelopen en hebben de oplossing geïmplementeerd. Mocht Typify niet verantwoordelijk zijn voor de hosting van de website dan is het probleem waarschijnlijk ook niet door ons op te lossen in verband met beperkte toegang tot de servers. Vraag dan bij de hosting provider na of de issue opgepakt is.

Bent u zelf verantwoordelijk voor uw hosting? U kunt ons altijd om advies vragen.