The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в ImageMagick, приводящая к утечке содержимого локальных файлов

06.02.2023 13:59

В пакете ImageMagick, который часто используется web-разработчиками для преобразования изображений, выявлена уязвимость CVE-2022-44268, которая может привести к утечке содержимого файлов в случае преобразования при помощи ImageMagick PNG-изображений, подготовленных атакующим. Уязвимость угрожает системам, которые обрабатывают внешние изображения и затем дают возможность загрузить результаты преобразования.

Уязвимость вызвана тем, что при обработке PNG-изображения ImageMagick использует содержимое параметра "profile" из блока метаданных для определения имени файла с профилем, который включается в результирующий файл. Таким образом, для атаки достаточно добавить к PNG-изображению параметр "profile" с необходимым файловым путём (например, "/etc/passwd") и при обработке подобного изображения, например, при изменении размера картинки, в выходной файл будет включено содержимое необходимого файла. Если вместо имени файла указать "-", то обработчик зависнет в ожидании ввода из стандартного потока, что можно использовать для осуществления отказа в обслуживании (CVE-2022-44267).

Обновление с исправлением уязвимости пока не выпущено, но разработчики ImageMagick рекомендовали в качестве обходного пути для блокирования утечки создать в настройках правило, ограничивающее доступ к определённым файловым путям. Например для запрета доступа по абсолютным и относительным путям в policy.xml можно добавить:


   <policy domain="path" rights="none" pattern="/*"/>
   <policy domain="path" rights="none" pattern="../*"/>

В открытом доступе уже размещён скрипт для формирования эксплуатирующих уязвимость PNG-изображений.



  1. Главная ссылка к новости (https://www.metabaseq.com/imag...)
  2. OpenNews: Уязвимость в Ghostscript, эксплуатируемая через ImageMagick
  3. OpenNews: Уязвимость в ImageMagick, позволившая получить доступ к чужим вложениям в почте Yahoo
  4. OpenNews: В рамках проекта ImageFlow началось развитие высокопроизводительной альтернативы ImageMagick
  5. OpenNews: Новая критическая уязвимость в GraphicsMagick и ImageMagick
  6. OpenNews: Критическая уязвимость в пакете ImageMagick, используемом на многих сайтах
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58610-imagemagick
Ключевые слова: imagemagick
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (107) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, полуфрактал (?), 14:07, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    2. OpenNews: Уязвимость в Ghostscript, эксплуатируемая через ImageMagick
    3. OpenNews: Уязвимость в ImageMagick, позволившая получить доступ к чужим вложениям в почте Yahoo
    4. OpenNews: В рамках проекта ImageFlow началось развитие высокопроизводительной альтернативы ImageMagick
    5. OpenNews: Новая критическая уязвимость в GraphicsMagick и ImageMagick
    6. OpenNews: Критическая уязвимость в пакете ImageMagick, используемом на многих сайтах

    у него есть новости кроме уязвимостей?

     
     
  • 2.12, commiethebeastie (ok), 14:25, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Там очень старый и наивный кот. Так что неудивительно.
     
     
  • 3.65, Аноним (65), 21:13, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так это вы новость писали,- "в случае преобразования при помощи ImageMagick подготовленных атакующим PNG-изображений" о_0
     

  • 1.2, ИмяХ (?), 14:14, 06/02/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –14 +/
     

     ....ответы скрыты (8)

  • 1.3, rshadow (ok), 14:14, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это все уязвимо было всегда и будет всегда. Надо запускать в песочнице и будет счастье.
     
     
  • 2.32, Анонимусс (?), 16:37, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А вдруг в песочнице тоже дырень!
    Нужно просто писать без багов, а с багами писать не нужно, дело-то...
     
     
  • 3.71, Пенис (?), 22:30, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну рано или поздно тот или иной софт закроет 99,9% потребностей пользователей, так что да, можно исправить.
     

  • 1.4, Аноним (4), 14:15, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    > Таким образом, для атаки достаточно добавить к PNG-изображению параметр "profile" с необходимым файловым путём (например, "/etc/passwd")…

    Доверие внешним данным. Классика.

     
     
  • 2.7, Вечно недовольный аноним (?), 14:19, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Просто надо верить что все люди добрые. Вы пессимист.
     
     
  • 3.17, Аноним (16), 15:09, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Майор - добрейшей души человек.
     
     
  • 4.48, Онан сын Иуды (?), 17:55, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не просто майор, а товарищ майор.
     
     
  • 5.56, Аноним (56), 18:46, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Кому товарщ, а кому и гржаданин.
     
  • 4.85, Бывалый смузихлёб (?), 06:29, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Майор разрабатывает ImageMagick и оставляет в нём эпичные дырищщи ?
     
     
  • 5.108, Аноним (108), 12:39, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем ему самому-то утруждаться? Он просто может "вежливо попросить" других оставить.
     
  • 4.87, Аноним (-), 08:30, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да и майнеры коинов и продавцы персональных данных так то никого не обидят. Особенно - себя.
     
  • 2.9, rshadow (ok), 14:24, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Классика еще и в том что либу пишут те, кому интересна обработка картинок. А о вебе и прочих страшных вещах вполне могут не подумать (не иметь ни опыта, ни желания).
     
     
  • 3.19, Аноним (56), 15:18, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И о том, что либа в вебе используется вовсю, авторам никто не сказал.
     
     
  • 4.50, Аноним (50), 17:55, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    а это их проблема? Если их библиотеку выбрали для использования вовсю, то она устраивала по всем параметрам
     
     
  • 5.54, Аноним (56), 18:28, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Опять суть опенсорса наружу лезет.
     
     
  • 6.58, Аноним (50), 19:18, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    и в чем же она?
    Напомню, что после прочтения лицензии "опенсурса" у тебя была возможность отказаться от его использования и избежать последствий "сути"
     
     
  • 7.72, пох. (?), 22:35, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • –7 +/
    > и в чем же она?

    ну очевидно же - сделать г-но на от...сь, загадить поляну так чтоб ничего больше не выросло, сидеть, ждать донейтов. Дыры объявлять фичами и "исправлять" идиотскими полиси-файлами. (обработку pdf они особенно хорошо "исправили")

    > у тебя была возможность отказаться от его использования и избежать последствий "сути"

    это чем-то отменяет факт что опинсурсь по прежнему - в основном дырявое кривое и гнилое г-но?

     
     
  • 8.79, Аноним (50), 02:11, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мне кажется, ты путаешь суть людей с сутью опенсорса Описанное тобой вполне мож... текст свёрнут, показать
     
  • 8.88, Аноним (88), 09:01, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ImageMagick разоряет конкурентов Заказывает лживые статьи в СМИ Какая подлость... текст свёрнут, показать
     
  • 7.106, Аноним (56), 11:41, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Суть в том, что ВАМНИКТОНИДОЛЖЕН. А в итоге мы имеем каличный Gimp, «готовый для десктопа» линукс, ну вот и сабж тоже.
     
     
  • 8.111, Аноним (50), 17:43, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Суть в том, что у пользователя есть _возможность_ получить исходники Если польз... текст свёрнут, показать
     
  • 8.127, Аноним (88), 23:58, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Покупали бы мандриву, она бы не обанкротилась и был бы десктопный Линукс Нет Н... текст свёрнут, показать
     
  • 8.128, Аноним (88), 00:02, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нет денег сделай порт paint net А у crossover нет программа для тестировщиков с ... текст свёрнут, показать
     
  • 8.129, Аноним (88), 00:11, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    3 5 разработка Gimp сделали за бесплатно то что могли, на gegl его 20 лет портир... текст свёрнут, показать
     
  • 6.64, AKTEON (?), 20:56, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это вместо того, чтобы заключить с авторами контракт на доработку библиотеки в нужном вам направлении - вы сидите и ждете халявы ?? Сидите и ждите. Ну или сами исправляйте.
     
     
  • 7.73, пох. (?), 22:51, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ага, щас... с г-ноделами все мечтают заключить контракт на доработки.

    > Ну или сами исправляйте.

    ну вот ты много сам исправил?

    А, ты ж не умеешь кодить, действительно...

     
     
  • 8.77, Советский инженер (?), 00:33, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что Неудачный день Никто контракт с тобой не заключает ... текст свёрнут, показать
     
  • 8.90, Аноним (88), 09:04, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Напиши лучше, покажи свои скилы Или ты как очередной эксперт, способен писать т... текст свёрнут, показать
     
  • 8.107, AKTEON (?), 12:32, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну не заключайте Автономия воли хозяйствующих субъектов так сказать А заче... текст свёрнут, показать
     
  • 3.20, Аноним (15), 15:36, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > А о вебе и прочих страшных вещах вполне могут не подумать

    А что если тем, кто занимается вебом, написать необходимый функционал, прислать коммиты и обьяснить владельцам проекта почему это нужно добавить в основную ветку?

     

  • 1.8, Аноним (8), 14:21, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Помню времена, PSP-3000 взламывали PNGшками. А ведь прошло с десяток лет :)
     
     
  • 2.25, Аноним (23), 15:51, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Фичи такие фичи.
     

  • 1.13, анон (?), 14:28, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    А почему эту уязвимость заметил васян с завода, а не многомиллиардные компании апле и адобе, которые постоянно внедряют опенсурс в свои платные проекты? Хмммм.
     
     
  • 2.29, Аноним (29), 16:12, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Им надо многомиллиарды считать, а не отвлекаться на какие-то уязвимости.
     
  • 2.31, iPony129412 (?), 16:33, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А где у Apple imageMagick?
     
     
  • 3.38, Аноним (38), 17:24, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Об этом гусары молчат обычно.
     
  • 3.59, анон (?), 19:29, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    сd ${ABЫRVALG}/AdobeFotojop.app/Contents/MacOS
    ./convert | grep ImageMagick

    Там еще в бинарях адобовских плагины гимпа и бленера вшиты даже не обфусцированные, но мне лень вспоминать.

     
     
  • 4.80, iPony129412 (?), 03:13, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я про Apple спрашивал.
     
  • 3.95, 111 (??), 09:29, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://ports.macports.org/port/ImageMagick/
     
     
  • 4.102, iPony129412 (?), 10:40, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > https://ports.macports.org/port/ImageMagick/

    Это троллинг глупостью?

     
  • 2.57, Аноним (88), 19:09, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому они это не используют. Это используют в основном php сайты, у которых выполнение произвольного кода при распаковке архива реализовано на уровне языка
     

  • 1.14, YetAnotherOnanym (ok), 14:54, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > содержимое параметра "profile" из блока метаданных для определения имени файла с профилем, который включается в результирующий файл

    Что авторы формата PNG, что авторы ImageMagic - друг друга стОят.

     
     
  • 2.37, Аноним (37), 17:17, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Авторы PNG здесь обсолютно не при чем: в блоке матаданных может быть любой произвольный текст.
     

  • 1.21, corvuscor (ok), 15:46, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >но разработчики ImageMagick рекомендовали

    Зря они не порекомендовали не использовать ImageMagick.
    Там и так в политиках куча всего отключено. Конечно, безмерно уважаю разработчиков столь полезной открытой утилиты, но это просто срам какой-то...

     
     
  • 2.33, Аноним (33), 16:38, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо в веб бекенде использовать такое. Для таких макак и разрабатывают ASP.NET Core + ImageSharp и подобное (где если и упадёт, то не так страшно).
     
     
  • 3.34, Аноним (34), 16:40, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Только GD, только hurtcore!
     
     
  • 4.41, Аноним (41), 17:29, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Конвейеры из программ netpbm.
     
  • 2.70, Омномним (?), 22:24, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну допустим у меня есть имахемагик в проектах, но я либо чужие файлы не загружаю, либо результаты назад никому не отдаю :D Почему бы мне его не использовать?
     
     
  • 3.76, пох. (?), 22:55, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    оригинальные у тебя прожекты, конечно.

    Но вообще-то в большинстве случаев пакетная обработка файлов требуется совсем не для того чтобы что-то обработать и выкинуть. Скорее чтоб выкинуть оригинал.

     
     
  • 4.96, Омномним (?), 09:36, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а чего оригинальные.
    Взять пачку картинок, трансформировать, выдать уже совершенно отличный от исходных картинок результат, сгенерированный с 0.
    Взять пришедший PNG, сбросить в TIF, отправить через Asterisk факсом :)
     
     
  • 5.101, пох. (?), 10:36, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну а чего оригинальные.
    > Взять пачку картинок, трансформировать, выдать уже совершенно отличный от исходных картинок
    > результат, сгенерированный с 0.

    прилепить к нему профиль, из оригинала, который э... оказывается не профиль.
    Потому что во-первых это поведение автомагическое, во-вторых в общем и целом нужны какие-то основания его проигнорировать.

     
     
  • 6.114, Омномним (?), 22:13, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не, там собственный ICC, потому что смешение может идти из источников с разными ICC.
     

  • 1.22, Аноним (22), 15:49, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    файл coders/jpeg.c, функция JPEGSetImageQuality, константные массивы hash и sums не объявлены как статические -- это всё, что нужно знать о програмиздах ImageMagick
     
     
  • 2.47, Аноним (22), 17:55, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    три програмизда уже отметилось.
    ещё?
     
     
  • 3.89, Аноним (89), 09:02, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Покажи свой код
     
     
  • 4.110, Аноним (110), 14:13, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    #include <stdio.h>
    int main() {
       printf("Hello, World!");
       return 0;
    }
     

  • 1.26, Аноним (26), 15:55, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В каком место это уязвимость то? Это особенность работы с хз чем. И вообще это возможно описано в документации и просто кто-то неправильно формирует PNG-файлы.
     
     
  • 2.35, Аноним (35), 17:02, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Действительно с какой это стати возможность получить любой файл сервера подсунув на сайте "неправильно сгенерированую" картинку считают уязвимостью...
     
     
  • 3.40, 1 (??), 17:28, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Почему "любой" ? В чруте ты получишь то, что в чруте.
     
  • 3.44, Аноним (26), 17:39, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Действительно с какой это стати возможность получить любой файл

    С такой же, как и "особенность работы с памятью", "это было описано в документации, просто кто-то неправильно юзает hyper" и т.п стати

     
  • 3.61, fuggy (ok), 20:12, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А кто обещал что это на сайте должно работать. Я может локально хочу обрабатывать картинку именно таким образом считывая локальный файл.
     
  • 2.67, Аноним (67), 21:51, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот-вот сами права доступа задавать не умеют, а потом бочку на ImageMagick катят.  
     

  • 1.43, хрю (?), 17:36, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Прыкольно, особенно то что ImageMagic зачастую содержится в больших программных продуктах (в той же alfresco да и в куче других) и зачастую ни пользователи ни админ об этом не в курсах :-)). В неё уже только добра понаходили, что flash уже по-моему обойдён.
     
  • 1.60, Аноним (60), 20:09, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ничего не нашёл на тему профилей в PNG metadata кроме ICC Profile name. И похоже что это не оно.
    Так вот вопрос, зачем автор добавил включение произвольных файлов при помощи дырки под названием profile.
     
     
  • 2.66, Аноним (67), 21:50, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что было удобно добавлять данные в profile или ты данные собрался консольными ключи добавлять в строчку как текст?
     

  • 1.62, Sw00p aka Jerom (?), 20:41, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    у всех же дыркер, не?
    чего бояться то?
     
     
  • 2.68, Омномним (?), 22:08, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну да, в принципе по меркам тамошних решёт это мелочь несущественная.
     
  • 2.69, Омномним (?), 22:09, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У кого в дыркерах софт с имажиком, отдающий назад результаты, из-под рута работает - тоже мои поздравления.
     
     
  • 3.74, Аноним (67), 22:52, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    [irony]
    Так а что делать если докер без рута не работает
    [/irony]
     
     
  • 4.84, Sw00p aka Jerom (?), 06:16, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    дыркер в дыркере:)
     
  • 2.86, Бывалый смузихлёб (?), 06:34, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Дыркер для упрощения развертывания..
     
     
  • 3.97, Омномним (?), 09:39, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я и грю, многие про привилегии в дыркере вообще не задумываются. Ачо, пусть рут будет. А то, что там можно вытащить какие-нибудь инфраструктурные ключи от софта под рутом - ну, это ж не баг, это фича.
     

  • 1.63, Аноним (63), 20:42, 06/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Юзайте libvips, он лучше и быстее.
     
     
  • 2.75, Аноним (67), 22:53, 06/02/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Тогда уж PIL потому что питон это всё.  
     

  • 1.81, Аноним (81), 03:15, 07/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >>В пакете ImageMagick, который

    На минуточку, затевался как консольная утилита для обработки изображений в консоли пользователем с правами пользователя


    >>часто используется web-разработчиками для преобразования изображений

    А подумать до использования им нечем

     
     
  • 2.103, пох. (?), 10:40, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>>В пакете ImageMagick, который
    > На минуточку, затевался как консольная утилита для обработки изображений в консоли пользователем

    угу, пользователь же ж мечтает попердолиться в консоли вручную. Для того ж и консоль (а совсем не для того чтоб использовать автоматизацию подобных задач).

    > с правами пользователя

    С правами пользователя вполне читаем .ssh/id_rsa и многое другое чего.

    Конечно же непременно нужно это все зафигачить в фотку на документы какому-нибудь нелоху.

    >>>часто используется web-разработчиками для преобразования изображений
    > А подумать до использования им нечем

    они как раз используют по назначению. Но давным-давно пора было понять что назначение у конкретно этого пакета - в мусорку.
    Его разрабатывали в прекрасные древние дни, когда думать прежде чем пихать в код чтение первых попавшихся файлов по символьной ссылке было неположено.

     
     
  • 3.115, Аноним (81), 00:05, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Конечно, виноваты разрабы утилиты

    Вот про rm сразу предупредили всех, что нельзя прикручивать в вебморде без контроля входных параметров

    А про ImageMagick предупредить не соизволили

    >>для того чтоб использовать автоматизацию

    Разница между запуском своим скриптом или в составе самостоятельно написанной команды и выполнением от вебсервера с неконтролируемыми параметрами неочевидна?

     
     
  • 4.122, пох. (?), 09:44, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Внезапно, rm this-shit не удаляет /etc/passwd - ДАЖЕ если в this-shit двести раз повторить эту строчку и даже если запустить от рута.

    Поэтому для нее - достаточно проверить именно входные параметры. А для имажика оказывается норм лезть в файлы по команде, найденной внутри файла. Ну местные эксперты не видят жеж разницы.

     
  • 3.116, Аноним (81), 00:10, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >> когда думать прежде чем пихать в код чтение первых попавшихся файлов по символьной ссылке было неположено

    Защита через "соглашение о не чтении данных пользователем"
    Тоесть писать программы надо так, чтоб не прочитать случайно что-то, что низя.
    А то вдруг это куда-то передастся.

    Трезвый хоть?

     
     
  • 4.118, пох. (?), 00:34, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну уж явно не так чтобы читая явно заданный в команде файл, ВНЕЗАПНО прочитать заодно и совершенно неожиданный, причем ни вопросов не задавая (хотя бы отдельного ключа НЕ включенного по умолчанию) ни ограничением хотя бы разумных путей не парясь, да еще воткнуть его содержимое в результат.  Тоже без шума и пыли.

    Причем я уверен что существует ровно НОЛЬ пользователей волшебной консоли вручную запускателей imagemagick (в принципе, можно тут точку, их уже ноль) и при этом использующих профили из внешних файлов еще и по абсолютному пути.

     
     
  • 5.120, Аноним (81), 01:06, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Попробуем иначе
    Заменим ImageMagick на какую угодно другую утилиту
    Обработка .png + путь в profile
    Точно именно пользовательские утилиты должны следить за безопасностью пути в profile?
    Защищать его от чтения и записи?
    Не операционка?
    Брендмауэр какой наконец?

    Конечно, это зона ответственности утилит. Утилиты не должны использовать предоставленный им доступ. По-джентельменски.

     
     
  • 6.121, пох. (?), 09:37, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Блин, вы тут все реально такие т-пые какими кажетесь Или это от стекломоя по ут... большой текст свёрнут, показать
     
     
  • 7.123, Аноним (81), 11:46, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Последняя попытка Утилита и её разработчики не несут ответствености ни за что ... большой текст свёрнут, показать
     
  • 7.124, Аноним (81), 11:48, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >>пользовательская утилита tar просто НЕ ДАСТ тебе распаковать /etc/passwd

    За tar искренне рад
    Это называется "дружелюбность" наверное и забота о юзере
    Такое поведение хорошо, приятно, но не обязательно

     

  • 1.91, Аноним (91), 09:09, 07/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    ImageMagick всегда будет проблемным куском кода. Изначально он разрабатывался как консольное приложение для локального использования, не как библиотека, и уж точно не как часть сервиса, доступно по сети. Библиотеку из него сделали абы как - там до сих пор заметная часть обработки ошибок - это тупо panic, что нормально для консольного приложения, но неприемлемо для библиотеки. Не говоря уж о минимуме проверок входных данных. Ещё в 2007 году этого накушался, и больше не трогаю, с тех пор в лучшую сторону оно изменилось не сильно.

    Благо уже есть масса альтернатив, изначально разработанных как высокопроизводительные библиотеки. Та же libvips.
     
     
  • 2.130, Анончег (?), 10:41, 11/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    "Изначально" - я его по-прежнему так и использую и далеко не сразу узнал, что есть странные люди, так его использующие.
     

  • 1.94, Аноним (88), 09:13, 07/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    https://en.m.wikipedia.org/wiki/GraphicsMagick

    GraphicsMagick is a fork of ImageMagick, emphasizing stability of both programming API and command-line options. It was branched off ImageMagick's version 5.5.2 in 2002

    То есть форк за бесплатно был сделан 20 лет назад.
    И даже расширение для php есть https://www.php.net/manual/en/intro.gmagick.php

     
     
  • 2.104, пох. (?), 10:43, 07/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > GraphicsMagick is a fork of ImageMagick, emphasizing stability of both programming API and

    без викивракеров мы бы об этом никак не догадались.

    > То есть форк за бесплатно был сделан 20 лет назад.

    И застрял на дырявом насквозь коде этой двадцатилетней давности, поэтому и с современными форматами проблемы, и ВСЕ дырки и баги оригинала, включая и нынешнюю, конечно же, унаследовал.

    Но вы продолжайте верить в форки от трех васянов обещавших (20 лет назад) всем-показать-как-нада.

     
     
  • 3.117, Аноним (88), 00:19, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сам то ты даже этого не показал
     

  • 1.112, Геймер (?), 20:33, 07/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Профайл" - не уязвимость, а удобство в определённых случаях обработки метаданных изображений. Речь может идти не об отказе, а о дальнейшем усовершенствовании работы этой функции.
     
  • 1.113, Аноним (113), 21:02, 07/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А на ImageMagick6 6.9.12.73 уязвимость не проявляется.

    ---
    official patch: https://github.com/ImageMagick/ImageMagick6/commit/3c5188b41902a909e163492fb0c

    fixed in 6.9.12-67
    ---
    https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1030767

     
     
  • 2.119, пох. (?), 00:44, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если функции начинающиеся с Locale то о чем я подумал (нет, не о конной е6ле на этот раз) - я стал еще худшего мнения о разработчиках этого гуана.

     
     
  • 3.125, Аноним (125), 19:13, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/ImageMagick/ImageMagick6/blob/main/magick/locale.c#L1411
     
     
  • 4.126, пох. (?), 19:40, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем вот ты меня заставил читать эту мерзость?

    Я же тебе не кидал ссылку про верблюда?

     

  • 1.131, Аноним (131), 12:44, 13/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дыра в imagemagick на новость уже не тянет, когда это в 50ый раз уже. Лучше объясните, что это вообще за profile в png? Почему там будет какой-то путь? Кто-нибудь в другом ПО его обрабатывает? Как это вообще должно включаться в файл, когда я файл скачаю из интернета и на моей пк не будет таких путей, как у создателя изображения?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру