Die ImageMagick-pakket, wat dikwels deur webontwikkelaars gebruik word om beelde om te skakel, het 'n kwesbaarheid CVE-2022-44268, wat kan lei tot lekkasie van lêerinhoud as PNG-beelde wat deur 'n aanvaller voorberei is, met ImageMagick omgeskakel word. Die kwesbaarheid raak stelsels wat eksterne beelde verwerk en dan toelaat dat die omskakelingsresultate gelaai word.
Die kwesbaarheid word veroorsaak deur die feit dat wanneer ImageMagick 'n PNG-beeld verwerk, dit die inhoud van die "profiel"-parameter van die metadatablok gebruik om die naam van die profiellêer te bepaal, wat by die resulterende lêer ingesluit is. Dus, vir 'n aanval, is dit genoeg om die "profiel"-parameter met die vereiste lêerpad by die PNG-prent te voeg (byvoorbeeld "/etc/passwd") en wanneer so 'n prent verwerk word, byvoorbeeld wanneer die grootte van die prent verander word , sal die inhoud van die vereiste lêer by die uitvoerlêer ingesluit word. As jy "-" in plaas van 'n lêernaam spesifiseer, sal die hanteerder hang en wag vir insette van die standaardstroom, wat gebruik kan word om 'n ontkenning van diens te veroorsaak (CVE-2022-44267).
'n Opdatering om die kwesbaarheid reg te stel is nog nie vrygestel nie, maar ImageMagick-ontwikkelaars het aanbeveel dat as 'n oplossing om die lekkasie te blokkeer, 'n reël in die instellings geskep word wat toegang tot sekere lêerpaaie beperk. Om byvoorbeeld toegang via absolute en relatiewe paaie te weier, kan jy die volgende by policy.xml voeg:
'n Skrip vir die generering van PNG-beelde wat die kwesbaarheid uitbuit, was reeds publiek beskikbaar.
Bron: opennet.ru