Concernant la récente faille ImageMagick
- Marye
- 18 mai, 2016
- Tech articles
ARender vs ImageTragick
Vous avez peut-être entendu parler du problème récent d’Imagemagick permettant à des personnes tierces d’exécuter du code, de supprimer des fichiers, de rendre inutilisable des machines.
Ce problème concerne effectivement ARender car nous utilisons ImageMagick en dépendance. Nous sommes donc à l’affût depuis la divulgation de cette faille de sécurité.
Un des points de résolution du problème est de vérifier que les fichiers envoyés sont bels et bien des images (et non des suites de commandes exécutable). Il se trouve qu’ARender se base sur une librairie de détection faisant exactement ce travail.
Nous avons donc essayé d’uploader sur ARender certains fichiers images causant des soucis de sécurité et sans surprise, ARender les détecte comme des fichiers « plain text » et va donc simplement convertir le texte en image et l’afficher dans ARender.
Voici l’exemple de rendu sous ARender (que nous avons brouillé afin de ne pas divulguer les commandes causant des failles de sécurité), imagemagick n’a jamais été appelé pour ces fichiers:
Pour plus de détails concernant cette faille, vous pouvez consulter le CVE suivant : https://www.cvedetails.com/cve/CVE-2016-3714/
De notre côté, même si ARender résiste à cette attaque, nous avons d’ores et déjà monté de version notre imagemagick en bundle dans ARender Windows afin d’offrir la meilleure sécurité possible à nos utilisateurs et avons modifié les pré-requis pour refléter ce changement.