Актуализация на GraphicsMagick 1.3.32 с корекции за сигурност

Изпратено от нова версия на пакет за обработка и конвертиране на изображения
GraphicsMagick 1.3.32, който елиминира 52 потенциални уязвимости, идентифицирани по време на fuzzing тестване от проекта OSS Fuzz.

Общо 2018 проблема са идентифицирани от OSS-Fuzz от февруари 343 г., от които 331 вече са коригирани от GraphicsMagick (за останалите 12 90-дневният период за коригиране все още не е изтекъл). Отделно
се празнуваче OSS-Fuzz се използва и за тестване на съседен проект ImageMagick, който към момента има над 100 неразрешени проблема, информацията за които вече е публично достъпна след времето за корекция.

В допълнение към потенциалните проблеми, идентифицирани от проекта OSS-Fuzz, GraphicsMagick 1.3.32 коригира и 14 уязвимости, които биха могли да доведат до препълване на буфера при обработката на специално форматирани изображения в SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF и XWD. Сред подобренията, които не са свързани със сигурността, поддръжката на WebP е разширена и се откроява възможността за заснемане на изображения в брайлов формат за гледане от незрящи.

Също така се отбелязва премахването от GraphicsMagick 1.3.32 на функция, която може да се използва за изтичане на данни. Проблемът се отнася до обработката на нотацията "@filename" за формати SVG и WMF, което ви позволява да показвате над изображението или да включвате в метаданните текста, присъстващ в посочения файл. Потенциално, при липса на правилно валидиране на входните параметри в уеб приложенията, атакуващите могат да използват тази функция, за да получат съдържанието на файлове от сървъра, като ключове за достъп и съхранени пароли. Проблемът се проявява и в ImageMagick.

Източник: opennet.ru

Купете надежден хостинг за сайтове с DDoS защита, VPS VDS сървъри 🔥 Купете надежден уеб хостинг със защита от DDoS атаки, VPS VDS сървъри | ProHoster