Salta al contenuto principale

Allerta Sicurezza: Aggiornare Subito ImageMagick per Evitare Command Injection e Crash del Server

Inviato da tuxsa il
wizard

Nel mondo dei server web e delle applicazioni che gestiscono l'upload di contenuti multimediali, ImageMagick rappresenta uno standard de facto. Tuttavia, la sua enorme versatilità e il supporto a centinaia di formati grafici diversi lo rendono storicamente un bersaglio primario per i ricercatori di sicurezza e per i malintenzionati.

In questi giorni di giugno 2026, la community della sicurezza ha acceso un enorme faro rosso sulla suite : sono state infatti scoperte e risolte diverse vulnerabilità critiche che affliggono sia il ramo moderno (7.x) che quello legacy (6.x). Se gestite un server Linux che si affida a ImageMagick in background (ad esempio tramite plugin di WordPress, Drupal o applicazioni Node/Python), l'azione correttiva deve essere immediata.

Andiamo ad analizzare nel dettaglio cosa sta succedendo sotto il cofano.

Anatomia delle Falle: Heap Overflow e Command Injection

Le patch rilasciate risolvono una serie di bug strutturali legati alla gestione della memoria e al parsing di file malformati:

  1. CVE-2026-46520 & CVE-2026-46692 (Heap Buffer Overflow) Il primo dei due problemi risiede nel motore di lettura nativo quando elabora file d'immagine multiframe (come GIF animate o TIFF particolari). Se i vari frame presentano dimensioni geometriche differenti e non standard, l'allocatore di memoria della suite va in overflow. Il secondo colpisce invece il componente magick-distribute-cache. In entrambi i casi, l'esito è letale: crash immediato del processo o, nello scenario peggiore, corruzione della memoria sfruttabile per l'esecuzione di codice.

  2. La Falla nel Decoder SVG (Command Injection & DoS) Forse il pericolo più subdolo riguarda il decoding dei file vettoriali SVG. Essendo l'SVG un formato basato su XML, gli aggressori sono riusciti a manipolare i tag per forzare il sistema a subire una command injection (esecuzione di comandi arbitrari sul sistema operativo ospite) e a innescare una negazione del servizio (Denial of Service) saturando completamente la RAM del server.

  3. Out-of-Bounds con Floyd-Steinberg (CVE-2026-48724) Risolta un'ulteriore anomalia che si verificava applicando l'algoritmo di dithering Floyd-Steinberg su immagini dotate di maschere di livello, provocando una scrittura fuori dai limiti della memoria allocata.

L'Impatto Reale sui Sistemi Web

Il vero problema di queste vulnerabilità non riguarda tanto l'utente che usa ImageMagick da riga di comando sul proprio PC, quanto i server esposti al pubblico.

Molti CMS e web application consentono agli utenti di caricare avatar, foto o documenti. Se l'applicazione passa questi file a un backend ImageMagick non aggiornato per generare le relative miniature (thumbnail), un utente malintenzionato potrebbe caricare un file SVG o una GIF appositamente modificati per prendere il controllo del server o mandarlo in crash in pochi secondi.

Come Mettersi al Sicuro: Versioni Corrette

Il team di sviluppo di ImageMagick ha risposto tempestivamente rilasciando i correttivi ufficiali. È fondamentale verificare la versione installata sui propri sistemi e procedere all'avanzamento verso le release minime di sicurezza:

  • Per chi utilizza il ramo moderno 7.x: aggiornare immediatamente alla versione 7.1.2-24 (o alla successiva 7.1.2-25).

  • Per chi si trova su infrastrutture legacy 6.x: installare la versione 6.9.13-48.

Se utilizzate distribuzioni Enterprise (come RHEL, Ubuntu LTS o Debian), controllate i repository ufficiali: i maintainer stanno effettuando il backporting delle patch in queste ore. Nel caso in cui l'aggiornamento non fosse momentaneamente applicabile, una buona contromisura temporanea consiste nel modificare il file policy.xml di ImageMagick per disabilitare temporaneamente il parsing dei formati più a rischio, come l'SVG.


Questa ondata di patch ci ricorda che la sicurezza non è un prodotto, ma un processo continuo. Strumenti potenti e complessi come ImageMagick richiedono un monitoraggio costante e policy di aggiornamento rigorose.