https://www.opennet.dev/openforum/vsluhforumID3/107842.html Разработчики проекта GraphicsMagick (http://www.graphicsmagick.org/), ответвившегося от ImageMagick в 2002 году, опубликовали (https://sourceforge.net/p/graphicsmagick/mailman/message/35072963/) результаты анализа критических уязвимостей, недавно выявленных (https://www.opennet.ru/opennews/art.shtml?num=44371) в ImageMagick. Отмечается, что несмотря на дополнительные проверки аргументов, GraphicsMagick оказался уязвим при применении немного изменённого вектора атаки. <br><br><br>Атака по организации выполнения произвольных shell-команд может быть организована в GraphicsMagick через файлы в формате "gplt", которые обрабатывается через запуск gnuplot, вызываемый при помощи функции system() с группировкой аргументов в одной строке. Для блокирования атаки достаточно удалить запись "gplt" в файле delegates.mgk. <br><br><br>GraphicsMagick также подвержен проблемам с обработкой MVG на основании заголовков (MVG будет обработан даже если файл поставляется в .jpg или с любым другим расширением). Отмечается и подверженность уязвимо https://www.opennet.dev/openforum/vsluhforumID3/107842.html#16 Tue, 10 May 2016 12:59:57 GMT &gt; И ради чего? Первый раз вижу человека недовольного ллвм в месе. Это <br>&gt; какая-то борьба с ветряными мельницами?<br><br>ллвм - это ветряные мельницы?<br> https://www.opennet.dev/openforum/vsluhforumID3/107842.html#15 Tue, 10 May 2016 12:47:14 GMT так я же и не отрицаю наличия таких среди пхпшников. Просто одновременно с наездом на них обычно еще и подразумевают, что в pure-c, python etc проблем с кодерами нет и они все выдают сразу же безбажный и неломаемый код :-)<br> https://www.opennet.dev/openforum/vsluhforumID3/107842.html#14 Tue, 10 May 2016 09:47:37 GMT И ради чего? Первый раз вижу человека недовольного ллвм в месе. Это какая-то борьба с ветряными мельницами?<br> https://www.opennet.dev/openforum/vsluhforumID3/107842.html#13 Mon, 09 May 2016 21:59:45 GMT Личный опыт. Плотно юзал и частично переделывал debian'овскую findimagedupes.<br> https://www.opennet.dev/openforum/vsluhforumID3/107842.html#12 Mon, 09 May 2016 21:36:30 GMT &gt; а кто-то еще пхпешников называет го внокодерами, лол.<br><br>Так не врут - https://www.opennet.ru/opennews/art.shtml?num=44390<br> https://www.opennet.dev/openforum/vsluhforumID3/107842.html#11 Mon, 09 May 2016 20:50:19 GMT Омские линуксоиды ждут анализа GraphicsMagick от разработчиков ImageMagick...<br> https://www.opennet.dev/openforum/vsluhforumID3/107842.html#10 Mon, 09 May 2016 19:51:13 GMT IM вполне себе по ядрам раскладывается. Только криво синхронизируется. Но на одной задаче выигрыш заметен. Env MAGICK_THREAD_LIMIT.<br> https://www.opennet.dev/openforum/vsluhforumID3/107842.html#9 Mon, 09 May 2016 16:01:31 GMT GM умеет параллелиться по ядрам. Но мы откатились на IM из-за чуть лучшего качества изображения после ресайза и пары каких-то функций, которые на GM не удалось запустить вообще.<br> https://www.opennet.dev/openforum/vsluhforumID3/107842.html#8 Mon, 09 May 2016 15:15:40 GMT Когда ImageMagick починит нормальную работу в OpenCL:<br><br>Пытается вылести из песочницы при доступе к /dev/dri/card*<br><br>например, когда выполняешь:<br><br>$ /usr/bin/mogrify -version<br>