phpBB nicht von Sicherheitslücke in ImageMagick betroffen!
Verfasst: 05.05.2016 21:35
Aktuell existiert in der ImageMagick-Bibliothek eine Sicherheitslücke, mit der durch das Hochladen von präparierten Bildern Schad-Code auf dem Server ausgeführt werden können.
phpBB benutzt ImageMagick um Thumbnails (Vorschaubilder) zu erstellen, alle anderen Funktionen in phpBB (z.B. bei den Dateianhängen) nutzen ImageMagick nicht. phpBB ist nach aktuellem Stand nicht von dieser Sicherheitslücke betroffen.
Die Sicherheitslücke beruht darauf, dass Dateien direkt zur ImageMagick-Bibliothek oder Textgrafiken (wie SVG- oder MVG) direkt zu ImageMagick "durchgereicht" werden. Da phpBB keine Vorschaubilder zu SVG oder MVG erstellt und gleichzeitig alle hochgeladenen Bilddateien prüft, entsteht hier keine Sicherheitslücke in phpBB durch die Verwendung von ImageMagick.
Quelle: Blog-Beitrag auf phpBB.com: https://blog.phpbb.com/2016/05/05/phpbb ... k-exploit/ (Englisch)
Infos zur Lücke:
http://www.heise.de/security/meldung/We ... 96901.html
http://arstechnica.com/security/2016/05 ... n-attacks/ (Englisch)
phpBB benutzt ImageMagick um Thumbnails (Vorschaubilder) zu erstellen, alle anderen Funktionen in phpBB (z.B. bei den Dateianhängen) nutzen ImageMagick nicht. phpBB ist nach aktuellem Stand nicht von dieser Sicherheitslücke betroffen.
Die Sicherheitslücke beruht darauf, dass Dateien direkt zur ImageMagick-Bibliothek oder Textgrafiken (wie SVG- oder MVG) direkt zu ImageMagick "durchgereicht" werden. Da phpBB keine Vorschaubilder zu SVG oder MVG erstellt und gleichzeitig alle hochgeladenen Bilddateien prüft, entsteht hier keine Sicherheitslücke in phpBB durch die Verwendung von ImageMagick.
Quelle: Blog-Beitrag auf phpBB.com: https://blog.phpbb.com/2016/05/05/phpbb ... k-exploit/ (Englisch)
Infos zur Lücke:
http://www.heise.de/security/meldung/We ... 96901.html
http://arstechnica.com/security/2016/05 ... n-attacks/ (Englisch)