CVE-2016-3714 ImageMagick | Documentación de cPanel y WHM

CVE-2016-3714 ImageMagick


Última modificación: 28 de septiembre de 2020

## Información de contexto

El martes 3 de mayo de 2016, ImageMagick anunció una vulnerabilidad en todas las versiones del software ImageMagick. ImageMagick es un paquete de software comúnmente utilizado por los servicios web para procesar imágenes.

Impacto

Una de las vulnerabilidades reportadas puede potencialmente explotarse para ejecución remota de código (RCE). Lanzamientos

ImageMagick no ha lanzado una solución, pero planea publicar una nueva versión de ImageMagic con las correcciones pronto.

cPanel, LLC normalmente lanza todas las compilaciones a la vez para limitar la capacidad de realizar arreglos de ingeniería inversa. Sin embargo, esta vulnerabilidad ya es muy conocida y hemos visto informes de su uso. En este caso, planeamos lanzar compilaciones tan pronto como estén disponibles.

En este momento, las siguientes compilaciones están disponibles:

  • 11.56 – 11.56.0.13
  • 11.54 – 11.54.0.23
  • BORDE – 11.55.9999.193
  • ACTUAL – 11.56.0.13
  • LANZAMIENTO – 11.56.0.13
  • ESTABLE – 11.54.0.23

Cómo determinar si su servidor está actualizado

Los RPM actualizados proporcionados por cPanel contendrán una entrada de registro de cambios con un número CVE. Para ver esta entrada del registro de cambios, ejecute el siguiente comando:

rpm -q --changelog cpanel-ImageMagick | grep CVE-2016-3714

La salida debe parecerse a la siguiente:

- Apply workaround for CVE-2016-3714

Qué hacer si no está actualizado

Si su servidor no está ejecutando una de las versiones anteriores, actualice inmediatamente.

Para actualizar su servidor, navegue a WHM Actualizar a la última versión interfaz (WHM >> Inicio >> cPanel >> Actualizar a la última versión) y haga clic en Haga clic para actualizar.

Para actualizar cPanel desde la línea de comandos, ejecute los siguientes comandos:

1
2
/scripts/upcp
/scripts/check_cpanel_rpms --fix --long-list

Para verificar que se instaló el nuevo RPM cpanel-ImageMagick, ejecute el siguiente comando:

rpm -q --changelog cpanel-ImageMagick | grep CVE-2016-3714

La salida debe ser similar a la siguiente:

- Apply workaround for CVE-2016-3714

Mitigación manual

Publicaremos compilaciones para 11.52 y 11.50 tan pronto como estén disponibles. Intentaremos usar WHM Autofixer para actualizar el policy.xml expediente. Para 11.52 y 11.50, puede mitigar manualmente esta vulnerabilidad con las siguientes instrucciones.

  1. Abra el siguiente archivo:

    /usr/local/cpanel/3rdparty/etc/ImageMagick-6/policy.xml
  2. Actualice el archivo para que coincida con el ejemplo de política a continuación para deshabilitar los codificadores EPHEMERAL, URL, HTTPS, MVG y MSL.

    1
    2
    3
    4
    5
    6
    7
    
    <policymap>
    <policy domain="coder" rights="none" pattern="EPHEMERAL" />
    <policy domain="coder" rights="none" pattern="URL" />
    <policy domain="coder" rights="none" pattern="HTTPS" />
    <policy domain="coder" rights="none" pattern="MVG" />
    <policy domain="coder" rights="none" pattern="MSL" />
    </policymap>

Cómo mitigar la vulnerabilidad para otras instalaciones de ImageMagick

Si tiene una instalación local de ImageMagick, le recomendamos que utilice un archivo de política para deshabilitar los codificadores vulnerables de ImageMagick. La política global para ImageMagick generalmente se encuentra en el /etc/ImageMagick/policy.xml expediente. El seguimiento policy.xml ejemplo deshabilita los codificadores EPHEMERAL, URL, HTTPS, MVG y MSL:

1
2
3
4
5
6
7
<policymap>
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
<policy domain="coder" rights="none" pattern="URL" />
<policy domain="coder" rights="none" pattern="HTTPS" />
<policy domain="coder" rights="none" pattern="MVG" />
<policy domain="coder" rights="none" pattern="MSL" />
</policymap>

Si aún tiene problemas o necesita ayuda adicional, comuníquese con Soporte de cPanel.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *