2016年5月3日にオープンソースの画像処理ライブラリImageMagickの脆弱性(CVE-2016-3714ほか、通称ImageTragick)が公表されました。
RedmineはImageMagickを使ってユーザーがアップロードした画像のサムネイルを生成しているため本脆弱性の影響を受けますが、My Redmineにおきましては対策を実施済みであることをご報告いたします。
不正な画像ファイルを処理させることで任意のコードを実行可能
ImageMagick公式サイトで紹介されている対策(※)を5月4日に実施し、本脆弱性を利用した攻撃が成立しないようにしました。
※policy.xmlファイルの設定により不正なファイルを処理対象外とする
