Velmi rozšířený program pro manipulaci s obrázky ImageMagick je zranitelný. Jedna ze zranitelností CVE-2016–3714 umožňuje vzdálené spuštění kódu použitím speciálně upravených obrázků. Také všechny moduly založené na ImageMagick jsou zranitelné, například PHP imagick, Ruby rmagick a paperclip a nodejks imagemagick.
Zranitelnost je pojmenována ImageTragick a jak je již hezkým zvykem má svou stránku a logo. Chyba je prý v současnosti již zneužívána a oprava ještě není hotová. Prozatím je třeba zakázat coders EPHEMERAL, URL, MVG a MSL v policy.xml a kontrolovat vstupní soubory.
Pěkná ukázka zranitelnosti. Uložte do example.jpg toto:
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|ls "-la)'
pop graphic-context
A proveďte convert example.jpg example.png.
(zdroj: theregister)
ČLÁNKY DO MAILU