Salta al contenuto

WordPress e la vulnerabilità ImageMagick. VERIFICATE.

Questo articolo ha oltre sei mesi di vita, quindi, mi raccomando, verifica le informazioni contenute in quanto potrebbero essere ormai obsolete.

Alcuni giorni fa è stata resa pubblica una vulnerabilità presente in ImageMagick.

Cos’è ImageMagick?

ImageMagick è un pacchetto che viene spesso installato nei webserver per gestire le immagini.

ImageMagick NON è distribuito da WordPress, da temi o da plugin. Lo trovate installato sui vostri webserver, non su tutti.

Se gestisci tu il tuo webserver puoi applicare le correzioni seguenti, anche se non è ancora chiara la portata del problema però ci sono alcune operazioni che ti possono aiutare a mettere in sicurezza il tuo server, almeno per ora.

Perché WordPress c’entra in tutto ciò?

Immagini caricate in WordPress, contenenti codice malevolo,  tramite la gestione media possono attivare una serie di exploit utilizzando, appunto, la libreria ImageMagick.

Il caricamento delle immagini, out of the box, è permesso ai ruoli utenti con capacità upload_files e cioè a:

  • Amministratori
  • Editori
  • Autori

I ruoli sottoscrittore e collaboratore e i visitatori non registrati al tuo sito non possono caricare immagini.

Pur non essendoci ancora una soluzione definitiva se non applichi le correzioni suggerite, il tuo sito può essere compromesso e può essere eseguito codice remoto.( Remote Code Execution (RCE))

Cosa sta facendo il team core di WordPress per ridurre al minimo il problema?

L’exploit è nell’estensione ImageClick NON in WordPress o nelle librerie distribuite da WordPress.

Il team di sicurezza di WordPress sta cercando un sistema per ridurre e per tenere sotto controllo il problema dato la grande diffusione dell’estensione ImageMagick.

In ogni caso è meglio gestire questo exploit lato server, le istruzioni seguono.

Come faccio a sapere se il mio sito è vulnerabile?

Se non gestisci tu il tuo server è probabile che l’hosting al quale ti rivolgi stia già correndo ai ripari. (n.d.a. io ho i miei dubbi)

Ti consiglio di contattare il tuo hosting e di chiedergli se si è attivato per risolvere l’exploit “ImageTragick (CVE-2016-3714, CVE-2016-3718 and CVE-2016-3715)”

Solo i siti WordPress che sono installati su webserver che hanno l’estensione ImageMagick sono vulnerabili. Se non sai se il tuo server ha l’estensione ImageMagick ci sono alcuni metodi per scoprirlo:

  1. Controlla il risultato di phpinfo() e guarda se ImageMagick è installata
  2. Da linea di comando esegui il comando php -m | grep imagick
  3. Installa il plugin WordPress phpinfo() e controlla se ImageMagick è installata

Come correggere la vulnerabilità?

Per ora la soluzione migliore è quella di aggiungere un file policy.xml alla tua installazione ImageMagick per limitare i delegati che ImageMagick utilizzerà.

Dato che la soluzione è in continuo divenire, ti suggerisco di seguire con attenzione ImageTragick per le istruzioni per risolvere questo problema.

ImageMagick 6.9.3-10

Il 3 maggio 2016 ImageMagick ha reso disponibile un aggiornamento per correggere il problema, ma si sta discutendo se questo aggiornamento risolva realmente tutti i problemi.

Al momento si presume che questo aggiornamento NON risolva completamente il problema quindi è consigliato di utilizzare la soluzione proposta prima con il file policy.xml

Letture ulteriori

Ulteriori informazioni e aggiornamenti li potete trovare sul sito https://imagetragick.com/ . Ti suggerisco di tenere d’occhio questo sito dato che il problema completo non è ancora stato scoperto.

Documentazione approfondita sul file policy.xml la puoi trovare a questo link https://www.imagemagick.org/script/resources.php.

La fonte originale di questa notizia, in inglese, la trovi a questo link https://make.wordpress.org/core/2016/05/06/imagemagick-vulnerability-information/.

 

 

Ho una Newsletter che parla di WordPress

Questo è l'archivio

Iscriviti alla mia Newsletter

Published inWordpress

Sii il primo a commentare

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Pagina 1 di 11
%d blogger hanno fatto clic su Mi Piace per questo: